NIS2: Povinnosti podle nového kyberzákona

NIS2 v Česku, zlom v kyberbezpečnosti dorazí letos
  • Kateřina Kubíková
  • David Polách
Směrnice NIS2 vytvořila dvě kategorie subjektů regulovaných služeb. Jedná se o základní subjekt (essential subject) a důležitý subjekt (important subject). Ty se pak liší požadavky, které musí organizace splňovat.
V českém právním řádu bude NIS2 přenesená do nového zákona o kybernetické bezpečnosti a jeho prováděcích vyhlášek. Návrh zákona o kybernetické bezpečnosti k tomuto přistupuje mírně odlišně a zavádí jeden subjekt poskytovatele regulované služby se dvěma režimy. Setkáme se tedy s režimem vyšších povinností, který odpovídá kategorii základní subjekt dle NIS2 a režimem nižších povinností, který odráží kategorii důležitý subjekt.
Pokud je organizace poskytovatelem regulované služby, povinnosti, které bude muset plnit závisí na tom, v jakém režimu je zařazená. Více o české legislativě, která vychází z NIS2 si můžete přečíst zde.
Bezpečnostní opatření ve vyšším režimu povinností

Návrh zákona o kybernetické bezpečnosti rozděluje bezpečnostní opatření do dvou skupin. Na opatření organizační (14) a opatření technická (11). Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností pak uvádí konkrétní obsah těchto povinností.  

Organizační opatření
  • systém řízení bezpečnosti informací
  • požadavky na vrcholné vedení
  • stanovení bezpečnostních rolí
  • řízení bezpečnostní politiky a bezpečnostní dokumentace
  • řízení aktiv
  • řízení rizik
  • řízení dodavatelů
  • bezpečnost lidských zdrojů
  • řízení změn
  • akvizice, vývoj a údržba
  • řízení přístupu
  • zvládání kybernetických bezpečnostních událostí a incidentů
  • řízení kontinuity činností a
  • provádění auditu kybernetické bezpečnosti

Technická opatření

  • fyzická bezpečnost
  • bezpečnost komunikačních sítí
  • správa a ověřování identit
  • řízení přístupových práv a oprávnění
  • detekce kybernetických bezpečnostních událostí
  • zaznamenávání událostí
  • vyhodnocování kybernetických bezpečnostních událostí
  • aplikační bezpečnost
  • kryptografické algoritmy
  • zajišťování dostupnosti regulované služby
  • zabezpečení průmyslových, řídících a obdobných specifických technických aktiv

Nově budou muset organizace ve vyšším režimu mít osoby zastávající bezpečnostní role: manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, garanta aktiva a auditora kybernetické bezpečnosti.

Pro představu obsahu opatření se blíže podíváme například na opatření k bezpečnostním rolím. Nově budou muset organizace ve vyšším režimu mít osoby zastávající role manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, garanta aktiva a auditora kybernetické bezpečnosti. Vrcholové vedení organizace má povinnost tyto osoby určit. Každá z těchto bezpečnostních rolí by měla splňovat požadavky stanovené vyhlášku a doporučuje se řídit i její přílohou, která role ještě více rozvádí.  

  • Manažer kybernetické bezpečnosti
    Manažerem kybernetické bezpečnosti je osoba, která bude odpovědná za dodržování pravidel systému řízení bezpečnosti informací, je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí nebo studiem na vysoké škole. Bude odpovídat za informování vrcholového vedení. Zároveň tato role nesmí být pověřena výkonem jiných rolí odpovědných za provoz regulované služby.
  • Architekt kybernetické bezpečnosti
    Architekt kybernetické bezpečnosti zodpovídá za zajištění návrhu implementace bezpečnostních opatření, musí mít také určité odborné znalosti a praxi.
  • Garand aktiva
    Garant aktiva je bezpečnostní role, která odpovídá za zajištění rozvoje, použití a bezpečnost aktiva.
  • Auditor kybernetické bezpečnosti
    Auditor kybernetické bezpečnosti pak odpovídá za provádění auditu kybernetické bezpečnosti, má odbornou znalost a praxi, audit vykonává nestranně a je výslovně stanoveno, že nesmí zastávat žádnou jinou bezpečnostní roli.
Bezpečnostní opatření v režimu nižších povinností

Pro poskytovatele regulované služby v režimu nižších povinností zákon organizační a technická opatření zvlášť nevyjmenovává, ale jsou uvedeny dohromady. Jedná se tak celkem o 13 bezpečnostních opatřeních uvedených v návrhu nového zákona o kybernetické bezpečnosti, kdy v aktuálním znění návrhu vyhlášky v režimu nižších povinností jich je rozvedeno pouze 11. Chybí v ní zakotvení řízení aktiv a řízení rizik. Jaké všechny povinnosti budou definitivně pro nižší režim (případně i vyšší režim) stanovené se dozvíme zřejmě až potom, co nová právní úprava projde schválením v Parlamentu. 

Bezpečnostní opatření v nižším režimu:

  • systém zajišťování minimální kybernetické bezpečnosti
  • požadavky na vrcholné vedení
  • řízení aktiv
  • řízení rizik
  • bezpečnost lidských zdrojů
  • řízení kontinuity činností
  • řízení přístupu
  • řízení identit a jejich oprávnění
  • detekce a zaznamenávání kybernetických bezpečnostních událostí
  • řešení kybernetických bezpečnostních incidentů
  • bezpečnost komunikačních sítí
  • aplikační bezpečnost
  • kryptografické algoritmy

Oproti bezpečnostním rolím rozvedeným výše ve vyšším režimu povinností je v tom nižším takto nenajdeme. Pod bezpečnostním opatřením zajišťování kybernetické bezpečnosti se však objevuje povinnost určit osobu odpovědnou za kybernetickou bezpečnost. Tato osoba bude odpovídat u organizací v nižším režimu za řízení a rozvoj kybernetické bezpečnosti a komunikaci s vrcholovým vedením.

Touto rolí může být pověřena osoba, která pro tuto činnost absolvuje odborné školení specifikované vyhláškou nebo prokáže odbornou způsobilost. Tuto roli může vykonávat již některý ze stávajících zaměstnanců, například osoba odpovědná za provoz IT. Na tomto příkladu si můžeme hezky ukázat, že nižší režim je opravdu mírnější než režim vyšších povinností.

Spadáte pod novou legislativu?

Vyvinuli jsme aplikaci, kde si po zadání odpovědí na jednoduché otázky můžete zdarma ověřit, zda pod novou regulaci pravděpodobně spadnete či nikoliv. Dozvíte se i co budete muset případně plnit a jaké by měly být další kroky, které v tomto směru musíte podniknout.
urči.se
Zvláštní povinnosti v odvětví digitální infrastruktury a služeb

Návrh zákona o kybernetické bezpečnosti ve stavu, kdy byl předložen v dubnu 2024 Legislativní radě vlády, přichází se speciálním ustanovením pro poskytovatele regulovaných služeb v odvětví digitální infrastruktury a služebJedná se o poskytovatele regulované služby, který je poskytovatelem regulované služby:

  • systému překladu jmen domén,
  • služby vytvářející důvěru ve smyslu přímo použitelného právního předpisu Evropské unie,
  • služby správy a provozu registru domény nejvyšší úrovně,
  • služby cloud computingu,
  • služby datového centra,
  • služby sítě pro doručování obsahu,
  • služby on-line tržiště,
  • služby internetového vyhledávače ve smyslu přímo použitelného právního předpisu Evropské unie,
  • služby platformy sociální sítě,
  • řízené služby a
  • řízené bezpečnostní služby.

Organizace poskytující některou z těchto služeb budou muset ve vztahu k těmto službám zavést a provádět bezpečností opatření, která zahrnují alespoň: řízení rizik, řízení bezpečnostní politiky a bezpečnostní dokumentace, zvládání kybernetických bezpečnostních incidentů, řízení kontinuity činnosti, řízení dodavatelů, bezpečnou akvizici, vývoj a údržbu, aplikační bezpečnost, bezpečnost lidských zdrojů, kryptografické algoritmy, řízení přístupu a správu a ověřování identit.

Detaily teprve stanoví Evropská komise, a tyto požadavky budou mít přednost před povinnostmi stanovenými českými právními předpisy. Jedná se o zpřísnění bezpečnostních opatření pro všechny poskytovatele některé z výše uvedených regulovaných služeb a míra zpřísnění bude záviset na znění prováděcího předpisu Evropské komise. Lehce povzbudivé může být, že toto zpřísnění se má týkat poskytovatele regulované služby pouze ke konkrétním regulovaným službám. Ostatní regulované služby, které může tato organizace poskytovat a nespadají pod prováděcí předpis Komise se budou řídit podle režimu poskytovatele regulované služby, a tedy zákonem o kybernetické bezpečnosti a jeho vyhlášek.  

Buďte připraveni

Pomůžeme Vám s praktickou přípravou Vaší společnosti na novou legislativu o kyberbezpečnosti.
Kontaktujte nás

Další články

Směrnice NIS2 Jak to vypadá s implementací napříč Evropskou unií
Směrnice NIS2: Jak to vypadá s implementací napříč Evropskou unií?
17. října 2024 skončila lhůta pro implementaci směrnice NIS2 do lokálních úprav členských států EU. Jak se komu podařilo deadline dodržet?

ČÍST VÍCE

Kybernetická bezpečnost Jak a proč do ní investovat
Kybernetická bezpečnost: Jak a proč do ní investovat?
Kybernetická bezpečnost je stále důležitější součástí každého podnikání. Věnujete ji dostatek finanční pozornosti? Jak a kolik byste do ní měli investovat?

ČÍST VÍCE

BCP, DRP, plán zvládání rizik
K čemu slouží BCP, DRP a plán zvládání rizik v kyberbezpečnosti?
Plány jako jsou BCP, DRP nebo plán zvládání rizik zajišťují kybernetickou bezpečnost a pomáhají udržet kontinuitu činností. Co by měly obsahovat?

ČÍST VÍCE

Newsletter

Chcete mít jistotu, že Vaše firma je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.

Kliknutím na odeslat vyjadřujete souhlas se zpracováním osobních údajů pro marketingové účely.
  • +420 234 262 329
  • info@cybrela.com

Rybná 682/14

Praha, Staré Město

110 00

Cybrela s.r.o.

IČ: 17597943

Ochrana osobních údajů

© 2023 Cybrela

Tvorba webových stránek