Nová a přísnější směrnice EU o kybernetické bezpečnosti NIS2 se v České republice dotkne podle odhadů alespoň 6 000 firem a státních subjektů. Nařizuje jim rozsáhlé povinnosti, za jejichž nesplnění budou hrozit pokuty ve výši desítek milionů korun. V českém zákoně o kybernetické bezpečnosti se požadavky NIS2 objeví v průběhu roku 2024. Jak na tuto aktualizaci připravit?
Vyzpovídali jsme Ondřeje Ševečka, projekt manažera oblasti MS systémů a bezpečnosti, koho se nová směrnice týká a co od ní čekat.
Evropská unie a její členské státy novelizují aktuální směrnici o kybernetické bezpečnosti (NIS2). Proč k tomu dochází a co to znamená pro firmy?
Rozšiřuje se významně počet jak organizací a systémů státní zprávy, tak soukromých společností, na které nově dopadají povinnosti řídit prokazatelně svoji informační bezpečnost. A nejen to, součástí je také požadavek na sledování bezpečnostních událostí a řízení incidentů, zvláště pak i hlášení incidentů Úřadu. Odhaduje se, že Zákon nově zasáhne na 6 000 společností a organizací v Česku a více než 5 000 na Slovensku.
Vyplývají dokonce osobní zodpovědnosti, za jejichž porušení hrozí citelné pokuty tedy i konkrétním zaměstnancům.
| Na speciální stránce NÚKIB najdete podrobné specifikace, například jakých institucí se novelizace dotkne.
Směrnice NIS2 v souladu s čl. 2 nepočítá s tím, že by ukládala povinnosti úplně každému, kdo danou službu poskytuje. Vývoj dovedl její tvůrce k tomu, že primárním způsobem stanovení, jestli soukromá nebo veřejná organizace spadá pod regulaci směrnice, je současné naplnění následujících dvou pravidel:
- organizace poskytuje alespoň jednu službu uvedenou v přílohách směrnice a zároveň
- je středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK)
|
Na základě novelizace vznikl nový kurz GOC240. Pro koho je kurz určený a co se naučí?
GOC240 je určen všem, kdo se chtějí dozvědět, jaké organizační a technické požadavky Směrnice a z ní vyplývající Zákon stanoví, a jak je naplnit i za pomoci dalších standardů řízení informační bezpečnosti, jako je ISO 2700x:2022. Cílovou skupinou jsou tedy manažeři i technici s povědomím a zodpovědnostmi v informačních technologiích.
Dozvíte se, jak se mění povinnosti vedení i techniků, jaké požadované a vhodné organizační bezpečnostní opatření zavést, změny v hlášení bezpečnostních incidentů a mnoho dalšího.
Proč by si firmy měly dát pozor a připravit se na tuto změnu?
Neznalost zákona neomlouvá. Stanovené povinnosti musí každý pivonný subjekt plnit bez toho, aby ho nějaká instituce nejprve vyzývala.
Například návrh zákona přitvrzuje v oblasti pokut, které mohou vystoupat až do výše 10 000 000 Eur nebo 2 % z čistého obratu za poslední ukončené účetní období.
Podle záměru NIS2 by také měla být zvýšena odpovědnost vrcholového vedení organizace za kyberbezpečnost a dodržování souladu se zákonem. Větší část zákona je věnována právě povinnostem vrcholového vedení, mezi které patří zajištění stanovení bezpečnostní politiky i cílů, zajištění dostatečných zdrojů, komunikaci důležitosti bezpečnosti ve společnosti, participace na řízení kybernetických rizik a řada dalších povinností.
Proč je důležité školit svoje zaměstnance? Jaké další kurzy byste doporučil?
Nabízíme nespočet kurzů souvisejících s informační bezpečností pro profesionály. Ale je žádoucí podpořit i bezpečnostní povědomí běžných uživatelů, protože na jejich zodpovědnosti, opatrnosti a rychlém rozpoznání a reakci na hrozby, nebo probíhající útoky, bezpečnost informací mnohdy významně závisí.
|
Ondřej Ševeček doporučuje kurzy:
|
Ondřej Ševeček
Produktový manažer kurzů
z oblastí MS servery, systémy a bezpečnost
|
Mohlo by vás zajímat
- Jsem v kurzu - 50 000 Kč na IT kurzy pro každého! » ZDE
- Nové termíny webináře IT Ráno ZDARMA » ZDE
- Plánované IT odborné konference » ZDE
- Kurzy si můžete zopakovat ZDARMA v rámci GARANCE VĚDOMOSTÍ
- Získejte výhody z IT Klubu » ZDE
