Nový zákon o kybernetické bezpečnosti dle NIS2

Nový zákon o kybernetické bezpečnosti, který vychází z evropské směrnice NIS2 zavádí pro tisíce českých společností řadu nových povinností v oblasti kybernetické bezpečnosti. Přísnější pravidla a nové požadavky dopadnou na všechny, kdo budou určeny jako regulované subjekty.

Se změnami bude třeba počítat v roce 2025, ale vše můžete nechat na nás – provedeme Vás celým procesem zavedení kyberbezpečnosti ve Vaší společnosti. Od úvodní analýzy, přes implementaci, audit, po outsourcing bezpečnostních rolí. Zkrátka se postaráme, aby pro Vás nebyla kybernetická bezpečnost strašákem, ale abyste všemu porozuměli, měli své podnikání v bezpečí a v souladu se zákony.

Koho se nový zákon dle NIS2 týká?

Nové předpisy o kybernetické bezpečnosti dle NIS2 přinášejí nové povinností na velký počet subjektů, kterých se dosud netýkaly. Dopadat budou na všechny, kdo splní kritéria tzv. „regulované služby“.

Typicky se jedná o velikost („velké“ a „střední“ podniky podle doporučení Evropské Komise) a konkrétní aspekty daného odvětví – počet zákazníků u telekomunikací, licence od Energetického regulačního úřadu v energetice nebo počet lůžek akutní péče ve zdravotnictví.

I když nebudete poskytovatelem regulované služby, můžete spadat pod výjimky určené Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB). A pak se Vás povinnosti v oblasti kybernetické bezpečnosti budou týkat také. Mezi takto ovlivněné oblasti bude patřit například poskytování některých IT služeb, potravinářství, výroba, chemický průmysl a mnohé další.

Vztahují se na Vaši společnost změny, které přináší směrnice NIS2?

Zjistíte sami v našem průvodci.

Jaké povinnosti přinese nový kyberzákon?

Další bezpečnostní opatření se na Vás budou vztahovat podle toho, zda se svým podnikáním spadáte do nižšího, nebo vyššího režimu povinnosti. Chcete zjistit, do jakého režimu spadáte? Využijte našeho průvodce Urči.se ↗

Normy kybernetické informační bezpečnosti

Zákon České Republiky

Nový zákon o kybernetické bezpečnosti

ÚČINNOST

2025

Vztahuje se na

Poskytovatele regulované služby.

Hlavní povinnosti

  • Určení regulované služby samoidentifikace a registrace prostřednictvím portálu NÚKIB.
  • Zavedení opatření na zajištění kybernetické bezpečnosti (v režimu vyšších, nebo nižších povinností).

Nařízení Evropské Unie

DORA

ÚČINNOST

17. ledna 2025

Vztahuje se na

Finanční subjekty.

Hlavní povinnosti

  • Zavedení bezpečnostních opatření na zajištění digitální provozní odolnosti.
  • Řízení rizik v oblasti informačních a komunikačních technologií (IKT).

Mezinárodní a mezioborový standard pro systém řízení bezpečnosti informací (ISMS)

ÚČINNOST

Od roku 2005 (poslední verze standardu je z roku 2022).

Vztahuje se na

Všechny organizace, které chtějí chránit svá aktiva.

Hlavní povinnosti

  • Zavedení opatření na zajištění bezpečnosti informací (certifikace).
  • Řízení aktiv a rizik. Řízení kontinuity činností.
  • Incident management.

Evropský standard, mechanismus hodnocení a výměny informací pro automobilový průmysl

ÚČINNOST

Od roku 2017 (verze 6 dotazníku VDA ISA je od 1. 4. 2024 povinná pro všechna nová hodnocení TISAX).

Vztahuje se na

Organizace v automobilovém průmyslu.

Hlavní povinnosti

  • Splnění specifických bezpečnostních požadavků pro úspěšnou certifikaci TISAX®.
  • Hodnocení pro získání certifikace TISAX® probíhá jednou za 3 roky.

Často se ptáte

Povinností každé členské země Evropské unie je „přijmout“ vydané směrnice do svého právního řádu – vydat k nim příslušný zákon. NIS2 je zkrácený název evropské směrnice, která řeší otázku kybernetické bezpečnosti. A nový zákon o kybernetické bezpečnosti je způsob, kterým je směrnice NIS2 v Česku přijímána.

Proto nový zákon o kybernetické bezpečnosti upravuje povinnosti subjektů v oblasti zajišťování bezpečnosti informačních systémů a sítí, klade povinnosti na vedení společnosti i její zaměstnance, zavádí povinnost řídit aktiva a rizika a řadu dalších. Vše s cílem zvýšit odolnost společností proti kybernetickým útokům.

Podle původních předpokladů měl být zákon přijat do konce roku 2024, ale vzhledem k vývoji legislativního procesu se očekává jeho přijetí v roce 2025.

Nové povinnosti, které zákon podle směrnice NIS2 zavádí, budou účinné rok po jeho účinnosti, tedy v roce 2026. S přípravou na změny však doporučujeme začít co nejdříve – zejména kvůli čím dál tím většímu rozšíření kybernetických hrozeb, nedostatku odborníků a potřebě racionálního plánování výdajů společnosti.

Nový zákon o kybernetické bezpečnosti významně rozšiřuje okruh subjektů. Odhaduje se, že nové povinnosti dopadnou na tisíce českých společností, kterým budou za nedodržení pravidel hrozit přísné sankce.

Platit budou pro poskytovatele regulovaných služeb, tedy pro společnosti spadající do 22 vybraných odvětví. Jedná se například o energetiku (elektřina, pohonné hmoty, plyn, vodík i teplo), vodní hospodářství (vodovody a kanalizace) nebo zdravotnictví. Kromě toho se povinným subjektem můžete stát, pokud budete učeni NÚKIBem v rámci stanovených výjimek. Nebudete sice splňovat kritéria pro poskytovatele regulované služby, ale přesto budete muset povinnosti plnit.

Zda bude vaše společnost spadat pod nový zákon si můžete jednoduše ověřit v naší aplikaci Urči.se.

Vyšší a nižší režim povinností si můžete představit jako dva stupně obtížnosti. S nižším režimem se pojí méně povinností, rozsah vyžadované dokumentace je sotva poloviční a je třeba obsadit jednu bezpečnostní roli. Pokud máte šikovné IT, možná nebudete muset ani přijímat nového člověka. Teoreticky jen potřebujete někoho, kdo vám vysvětlí obsah nových povinností.

Společnosti spadající pod režim vyšších povinností oproti tomu musí obsadit minimálně tři bezpečností role, řídit rizika, spravovat a pravidelně aktualizovat více než 20 dokumentů, zavést a udržovat systémy pro monitorování sítě a mnoho dalšího.

Povinnost samoidentifkace znamená, že si každá společnost musí posoudit, zda je poskytovatelem regulovaných služeb a jestli se tím pádem musí řídit novou úpravou kybernetické bezpečnosti. Je to jedna z těch významných změn, kdy oproti původnímu zákonu o kybernetické bezpečnosti společnosti určoval přímo sám NÚKIB.

V případě, že společnost zjistí, že vykonává činnost dle vyhlášky o regulovaných službách, bude se muset u NÚKIB ohlásit jako poskytovatel regulované služby a začít plnit zákonné povinnosti. Povinnost registrace u NÚKIB je nutno splnit nejpozději do 60 dní od účinnosti nové právní úpravy.

Jak Vám můžeme pomoci?

S nastavením kybernetické bezpečnosti

S povinnostmi podle nového kyberzákona

Proč si vybrat nás?

Máme zkušenosti

Máme potřebné certifikace a dlouholeté zkušenosti s kompletní implementací bezpečnostních opatření ve společnostech různých odvětví a velikostí.

Jsme tu vždy pro Vás

Nabízíme outsourcing bezpečnostních rolí, včetně Manažera kybernetické bezpečnosti, který je Vám k dispozici 24/7.

Sledujeme novinky

Monitorujeme vývoj legislativy i aktuální situaci ohledně transpozice NIS2 do platné lokální legislativy. Novinky a aktuality víme z první ruky.

Přemýšlíme byznysově

Kybernetickou bezpečnost nastavujeme prakticky tak, aby pro Vás byla hlavně přínosem a také, aby jí všichni ve Vaší společnosti rozuměli a uměli ji používat.

Rozumíme právu

Neposkytujeme právní služby, ale naši konzultanti mají právní vzdělání. Směrnice a právní předpisy Vám proto umíme přeložit do srozumitelného jazyka tak, abyste všemu plně porozuměli.

Umíme se přizpůsobit

Kromě procesního nastavení kybernetické informační bezpečnosti Vám zvládneme zajistit i konzultace k technické části.

Kontaktujte nás a získejte svůj deštník proti kybernetickým hrozbám!

Pomůžeme Vám vytvořit základy, principy a dokumentaci pro efektivní zabezpečení. Naučíme Vás, jak rozumět a spoléhat se na Vaše zabezpečení v případě incidentů, aby mělo preventivní charakter a neochromilo provoz.