Jak se vyhnout nové povinnosti v oblasti kyberbezpečnosti podle NIS2 a nového návrhu zákona o kyberbezpečnosti

Svět kyberbezpečnosti se neustále vyvíjí, a s tím přichází nová nařízení a zákony, které mohou zasáhnout i vaše podnikání. V této podpoře vám představíme tři kroky, jak zjistit, zda na vás budou nová pravidla v oblasti kyberbezpečnosti, jako je NIS2, a nový návrh zákona o kyberbezpečnosti, mít vliv, a jak se jim vyhnout. Náš cíl je poskytnout vám konkrétní rady, abyste mohli přijmout informovaná rozhodnutí a ochránit své podnikání.

Krok 1: Jak jste velcí?

Prvním krokem je určit, zda vaše podnikání spadá pod nové nařízení kyberbezpečnosti. Pokud již nyní musíte dodržovat povinnosti v oblasti kyberbezpečnosti, pravděpodobně budete regulovat i nadále. Pokud ale doposud kybernetickou bezpečnost neřešíte a působíte v Evropské unii, podívejte se, zda spadáte pod definitivní povinný subjekt dle NIS2.

Je-li váš podnik střední nebo velký, nebo pokud poskytujete určité služby v členském státě EU, pravděpodobně budete muset dodržovat nová pravidla.

Krok 2: V čem podnikáte?

Druhý krok následuje v určení, zda vaše činnost spadá pod relevantní kategorii podle NIS2. Zde je seznam odvětví, na kterou se nové nařízení vztahuje:

• Energie, včetně těžby a distribuce.
• Doprava.
• Finance.
• Zdravotnictví.
• Vodárenství.
• Poskytování digitálních služeb (elektronické komunikace, cloud computingové služby, datová centra, online tržiště, sociální sítě, vyhledávače).
• Doručování zásilek.
• Nakládání s odpady.
• Výroba a distribuce chemických látek.
• Výroba a distribuce potravin.
• Výroba zdravotnických prostředků, počítačů, strojů, elektrických zařízení nebo dopravních prostředků, nebo se věnujete výzkumu.

Pokud se vaše činnost nachází v jednom z těchto odvětví, pravděpodobně budete muset dodržovat nové nařízení.

Krok 3: Průzkum a posouzení

Třetím krokem je podrobnější průzkum. Proveďte důkladnou analýzu příloh I a II NIS2, které obsahují specifické informace o tom, které subjekty a činnosti budou regulovány. Tento krok může být časově náročný, ale je nezbytný pro určení, zda na vás nová pravidla budou mít vliv.

Pokud jste prošli všemi třemi kroky a zjistili jste, že nové nařízení bude na vás mít vliv, je čas připravit se na jejich dodržování.

Dopad na české podniky

V České republice má nový zákon o kybernetické bezpečnosti širší dosah než NIS2. Rozšiřuje například regulaci na vojenský průmysl a zahrnuje i výrobu a distribuci zboží dvojího užití. To znamená, že podniky v těchto odvětvích budou podléhat přísnějším povinnostem.

Pokud tedy vyrábíte nebo distribuujete zboží, mějte na paměti, že může být nutné povolení, což může ovlivnit různé činnosti, včetně kompozitních materiálů, ochranných oděvů, výrobního zařízení, slitin kovů, chemických látek, počítačů, telekomunikačních a navigačních zařízení a dalších.

I když se nové nařízení zdají složitá, je důležité se s nimi seznámit a připravit se na jejich dodržování včas. To platí i pro české podniky, které mohou být regulovány širším dosahem než samotný NIS2.

Termín pro splnění povinností dle NIS2

Není třeba panikařit. Lhůta, do které má být zákon přijat, končí v polovině října 2024. Nicméně doporučujeme vám již nyní prověřit, zda NIS2 a nového současná verze zákona na vás bude mít vliv.

Pokud máte jistotu, že nová regulace na vás dopadne, je vhodné zahájit projektové plánování a implementaci strategie pro NIS2 bez zbytečných obav. Samotná implementace bezpečnostních opatření, aktualizace vašich aktiv (zvláště hardware) a investice do nových prostředků je časově náročná. V této fázi je důležití vyhýbat se nákupu aktiv, která nesplňují nová bezpečnostní kritéria. Změny související s organizacemi nebo strukturálním oddělením regulovaných činností mohou trvat ještě déle.

Pokud máte pochybnosti ohledně toho, zda budete regulováni (což je běžné v případě dvojího užití), doporučujeme sledovat legislativní procesy na národní úrovni nebo využít služby, které vám umožní udržovat se v průběhu s aktuálními změnami.
Ať už budete podléhat regulaci nebo ne, je vždy důležité udržovat kyberbezpečnost podniku v aktivní pozornosti.