Brzy vstoupí v platnost nová celoevropská strategie o kybernetické bezpečnosti Směrnice NIS2 (Network and Information System) . Bude mít výrazný dopad na fungování tisíců českých firem a organizací. Zavádí nová pravidla pro zajištění bezpečnosti jejich kyberprostoru proti hackerským útokům a týká se kritické infrastruktury státu včetně potravinářských firem.
Poměrně pravidelně se v posledních měsících setkáváme s kybernetickými útoky na státní organizace. Množství a intenzita hackerských útoků se stále stupňují a způsobují obrovské škody. Hackeři využívají digitální transformace společnosti, kterou výrazně urychlila koronavirová krize. Nesoustředí se pouze na úřady, státní organizace nebo nemocnice, ale i na soukromé firmy. Tam mohou způsobit mnohem větší škody než útoky na úřady. Na dálku lze ovládnout a ochromit výrobní linky potravinářských firem, výrobu chemických látek, technologie zpracování odpadu a další důležité provozy. Pravidelné zálohování dat, dvoufaktorové přihlášení do svých systémů, odolná kryptografie nebo řízení rizik bohužel některé firmy podceňují.
Ve srovnání se směrnicí NIS1 z roku 2016 bude pod novou regulaci NIS2 zařazeno mnohem více takzvaných povinných subjektů. Nyní musejí splňovat konkrétní bezpečnostní parametry v kyberprostoru stovky organizací, nově jich přibude více než šest tisíc.
Směrnice komplexně pokrývá všechna odvětví a služeb, které mají zásadní význam pro klíčové společenské a hospodářské činnosti v rámci vnitřního trhu EU.
Nové povinnosti vycházející ze směrnice budou mít společnosti ve farmacii, potravinářství, chemickém průmyslu, odpadovém hospodářství, ale také datová centra, veřejná správa či pošta. Povinné subjekty budou muset hlídat kybernetickou bezpečnost i v rámci svých dodavatelských řetězců. Vyžadovat se bude použití evropského systému certifikace kybernetické bezpečnosti.
Povinné subjekty mají dvě kategorie.
Subjekty zásadního významu:
- odvětví energetiky – pododvětví dálkového vytápění a chlazení a také vodíku (provozovatelé výroby, skladování a přepravy vodíku)
- odvětví zdravotnictví – vedle zdravotnických zařízení nově také referenční laboratoře EU, subjekty provádějící výzkum a vývoj léčivých přípravků, subjekty vyrábějící základní farmaceutické výrobky a přípravky a zdravotnické prostředky považované za kritické v případě ohrožení veřejného zdraví
- odvětví pitné vody a odvětví odpadní vody
- odvětví digitální infrastruktury – poskytovatelé služeb cloud computingu, služeb datových center, sítí pro doručování obsahu, služeb vytvářejících důvěru, veřejných sítí elektronických komunikací
- odvětví veřejné správy (ústřední subjekty veřejné správy, orgány samosprávy)
- odvětví vesmíru (pozemní infrastruktury podporující využívání kosmického prostoru)
Důležité subjekty:
- poštovní a kurýrní služby
- nakládání s odpady
- výroba, produkce a distribuce chemických látek
- výroba, zpracování a distribuce potravin
- výroba zdravotnických prostředků a diagnostických zdravotnických prostředků in vitro; počítačů, elektronických a optických přístrojů a zařízení; elektrických zařízení; motorových vozidel; přívěsů a návěsů a ostatních dopravních prostředků a zařízení
- digitální služby (poskytovatelé online tržišť, internetových vyhledávačů a platforem služeb sociálních sítí).
Směrnice se vztahuje na všechna rizika. Zahrnuje teroristické útoky, přírodní katastrofy, rizika způsobená člověkem včetně nehod, trestné činy a ohrožení veřejného zdraví.
Povinné subjekty se tak musí zaměřit na analýzu rizik a politiku bezpečnosti informačních systémů, zabezpečení dodavatelského řetězce, řešení incidentů (prevence a odhalování), řízení kontinuity provozu a krizové řízení.
Maximální výše pokuty za nedodržení směrnice je 10 000 000 Kč nebo 2 % z celkového celosvětového ročního obratu společnosti.
Zdroj: freepik.com
Comments are closed.