Otázky ohledně zavedení NIS2

Nová směrnice Evropské unie NIS2 a její implementace v právním řádu České republiky významně rozšiřuje okruh firem, kterých se týkají požadavky Evropské unie na kybernetickou bezpečnost. Povinně tak dopadne nově na odhadem tisíce firem. Těch se bude nově týkat množství povinností.

Je pravděpodobné, že tyto firmy kybernetickou a informační bezpečnost řešily již nyní, ale bude nutné, aby prováděly např. identifikaci a hodnocení aktiv, analýzu rizik, aby měly nastavené procesy pro řešení bezpečnostních incidentů, aby u nich pravidelně probíhal audit bezpečnostních opatření, nastavení šifrování, zabezpečení nouzové komunikace, byly zpracovány plány obnov a kontinuity činností a mnoho dalších činností, které pro ně dosud nebyly povinné.

Povinnosti se podle režimu rozdělují do dvou, resp. tří základních kategorií a to na „organizační opatření“, „technická opatření“ a „zpracování dat v zahraničí“ (pouze v režimu vyšších povinností).

Organizace, kterých se nově NIS2 týká

Podle návrhu prováděcí vyhlášky se povinnosti nového kybernetického zákona budou týkat veřejné správy (včetně např. obcí s rozšířenou působností), dále pak středních a velkých podniků v oblastech energetika, výrobní průmysl, potravinářský průmysl, chemický průmysl, vodní hospodářství, odpadové hospodářství, doprava, digitální infrastruktura a služby, finanční trh, zdravotnictví, věda, výzkum a vzdělávání, poštovní služby, vojenský průmysl a vesmírný průmysl.

Z dat statistického úřadu vyplývá, že podle počtu zaměstnanců je v ČR 2411 velkých podniků, malých a středních pak 30539. Počet zaměstnanců samozřejmě není jediným kritériem pro určení velikosti podniku, z uvedených čísel se však zdá odhad 6000 dotčených subjektů jako podhodnocený. Důležité je si uvědomit, že mnoha dalších podniků se nová právní úprava dotkne nepřímo, jelikož je na ně přenese některý z jejich velkých zákazníků, pro kterého se stane NIS2 povinnou a bude některá opatření požadovat i od svých dodavatelů.

(https://www.czso.cz/csu/czso/res_cr)