Nová evropská kyberbezpečnostní směrnice NIS2 se má dotknout zhruba 6000 organizací v České republice. Co přinese a kdy by se o ní měly firmy a instituce začít zajímat? Zeptali jsme se europoslankyně Markéty Gregorové, která se na přípravě znění NIS2 podílela.  „Pokud nechcete žádnou paniku měsíc po vstoupení NIS2 v platnost, je právě teď čas začít se o toto nařízení zajímat,“ říká.

10. listopadu 2022 schválil Evropský parlament znění nařízení NIS2. Kdy očekáváte, že se tato regulace oficiálně zveřejní?

Rada Evropské unie nařízení formálně schválila 28. listopadu. Jakmile směrnici zveřejní Úřední věstník, vstoupí v platnost 20 dní po zveřejnění a členské státy pak budou muset implementovat nové prvky směrnice do vnitrostátního práva. Členské státy na to budou mít lhůtu 21 měsíců. Tudíž krátká odpověď je: dva roky, členské země ale už při vyjednávání daly najevo, že to chtějí implementovat co nejrychleji, optimistická odpověď tedy je: příští rok.

NIS2 má regulovat úroveň kyberbezpečnosti v podnicích napříč veřejným i soukromým sektorem a uvádí se, že se v ČR bude týkat až 6000 organizací. Kdo by měl zvlášť zpozornět – a kdo může být velmi překvapen, že se ho NIS2 také týká?

Pokud byla vaše společnost nebo organizace napadena ransomwarem nebo podobným útočným softwarem, musíte věnovat větší pozornost kybernetické bezpečnosti už teď. Bez ohledu na NIS2 nebo jakýkoli jiný zákon. Utrácet peníze za kvalitní ochranu se vyplácí. Útoky nabývají na intenzitě, rozmanitosti a s rostoucím počtem připojených zařízení i na závažnosti.

NIS2 je základní minimální harmonizace prvků kybernetické bezpečnosti, kterou dává smysl provádět u nejdůležitějších společností v našich zemích. Například vytváříme evropskou databázi zranitelností. To znamená, že rychlost, s jakou dokážeme ochránit české firmy před nově nalezenými zranitelnostmi, je potenciálně 27krát vyšší, protože to nyní děláme společně. To šetří náklady a zvyšuje bezpečnost pro všechny. Podle globálních trendů v útocích jsou obzvláště ohroženy sektory energetiky, dopravy, bankovnictví, zdravotnictví, digitální infrastruktury, veřejná správa a vesmír. Ty tedy v NIS2 budou spadat do kategorie tzv. zásadních odvětví, tedy těch, na něž se budou klást nejpřísnější nároky ochrany.

Firmy, které spadají pod poštovní služby, odpadové hospodářství, chemikálie, potraviny, výrobu zdravotnických prostředků, elektroniku, stroje, motorová vozidla a digitální poskytovatele, označujeme za tzv. důležitá odvětví a budou muset plnit základní požadavky na svou ochranu.

Mění nějak NIS2 definici toho, co se dnes považuje za „kritickou infrastrukturu“ nebo „kritickou informační infrastrukturu“?

Kritickou infrastrukturu definuje NIS1 a jiné dokumenty, na tom NIS2 nic nemění. Pouze se rozšiřují kategorie povinných subjektů.

NIS2 není prvním evropským pokusem o regulaci kyberbezpečnosti. V čem je hlavní rozdíl proti dosavadní regulaci NIS1?

Stručně – více společné koordinace a větší rozsah.

NIS1 uváděl do pohybu požadavky na společnou úroveň kyberbezpečnosti napříč členskými státy, ale jelikož to mnohé státy stále chránily jako otázku národní bezpečnosti a samozřejmě také často neměly vybudované kapacity, nebyla vůle více sdílet informace, zranitelnosti apod. Základní kapacity se už vybudovaly, a proto je teď možné rozšířit sektory, které je nutné chránit, ale také začít více spolupracovat a koordinovat reakce i opatření.

NIS2 vzdáleně připomíná podobné evropské nařízení týkající se osobních údajů – GDPR, které platí od roku 2018. Bude mít NIS2 podobný dopad na podniky jako GDPR?  Bude třeba podobná administrativa? V čem vidíte podobnosti/odlišnosti?

Naprosto souhlasím s tímto připodobněním. GDPR nastavilo globální standardy ochrany dat. Má největší naděje je, že NIS2 udělá podobnou službu v kyberbezpečnosti, že to bude zdroj určité inspirace, a především závazek na trhu i pro okolní země. Nedávno jsem o NIS2 měla prezentaci například pro firmy v Bosně a Hercegovině. Kyberútoky nerespektují národní hranice.

Jak přesně to na českém trhu bude fungovat, určí národní implementace ve spolupráci s Národním úřadem pro kybernetickou bezpečnost  (NÚKIB). Ti ale předjímají, že se zaměří především na ta zásadní odvětví a ta důležitá si budou žádat o certifikaci u soukromých certifikátorů, jejichž postupy kontroly NÚKIB schválí a dovolí jim tu certifikaci dělat. Pak to bude systém kombinující pravidelné a náhodné kontroly, tedy že si bude muset firma za předem určenou dobu (národní implementací, ale bavíme se v řádu let) obnovit certifikaci. Zároveň bude kdykoli možné, že ji národní úrovni někdo náhodně zkontroluje, zda dodržuje povinnou úroveň zabezpečení.

Kdy by se firmy a podniky měly začít o toto nařízení zajímat? Kdy tedy lze čekat, že bude závazné a mohou padnout první pokuty?

Zajímat by se měly již teď. Doporučuji k tomu webovou stránku https://nis2.nukib.cz, nechceme žádnou paniku měsíc po vstoupení v platnost, ale klidnou přípravu. Je tak akorát čas začít. Jak jsem zmiňovala, odhad národní implementace je jeden až dva roky. A samozřejmě – firmy by to neměly dělat kvůli strachu z pokuty, ale z obavy před ransomwarem, který je obere o mnohem víc – o peníze i důvěru zákazníků.

Jak se NIS2 dotkne dodavatelů hardwaru a síťových či bezpečnostních technologií? Bude potřeba, aby výrobce, který se chce účastnit tendru, disponoval jakýmsi „NIS2 certifikátem”?

Jak jsem zmiňovala, digitální infrastruktura bude pod přísnějším režimem tzv. zásadních odvětví. Je to tedy tak, jak říkáte, bude potřeba splňovat požadavky na zabezpečení určené certifikačním procesem NÚKIB. Výběrová řízení by to nově měla reflektovat spolu s dalšími věcmi.

Co když má podnik stávající IT infrastrukturu od pochybného dodavatele, který nemůže prokázat soulad s NIS2? Znamená to, že v den platnosti NIS2 bude muset celou tuto infrastrukturu vyměnit?

Soulad s evropskou legislativou by byl v tomto případě mou třetí nebo čtvrtou starostí. Pochybní dodavatelé představují finanční a bezpečnostní riziko pro jakýkoli podnik už teď, ne až s příchodem legislativy. Požadavky v NIS2 jsou úplný základ a zajistí, že všechny relevantní entity budou bezpečnější. Snad to bude především znamenat, že zatraktivní podnikání s poctivými dodavateli.

Jinak samozřejmě záleží, kdy a jak si podnik zažádá o certifikaci; pak tam bude nějaká doba, kdy půjde napravovat zjištěné chyby – takže ne, dnem vstupu NIS2 v platnost se ani ti, co takříkajíc zaspí, nemusí obávat toho, že ještě ten den budou muset zjednat nápravu. Ale důvěryhodného dodavatele by si měli pořídit už teď.

V rámci přípravného výboru jste se podílela na znění NIS2. Co bylo nejtěžším/nejdiskutovanějším článkem tohoto nařízení?

Řekla bych, že „nejoblíbenější” částí všech, od politiků po lobbisty, byly požadavky na rozsah, tedy které entity a odvětví pod NIS2 spadnou. Všichni by rádi jezdili po bezpečných a kvalitních silnicích, ale málokdo za ně chce zaplatit.

Jaká je „česká stopa” v NIS2? Bude implementace v Česku těžší nebo lehčí ve srovnání se zbytkem EU? Kde očekáváte největší komplikace?

Máme jeden z nejživějších a nejkonkurenceschopnějších obchodních sektorů v Evropské unii. Věřím, že všechny naše podniky budou v budoucnu zlepšovat svou kybernetickou bezpečnost, ať už budou muset vyhovět novým změnám v NIS2, nebo ne.

Co se týče české stopy, mohu-li přihřát polívčičku, jde o práci  kolegy Marcela Kolaji mou. Díky nám by se měly do veřejných zakázek zahrnout kromě požadavků na certifikaci kybernetické bezpečnosti i požadavky na šifrování a používání produktů s otevřeným zdrojovým kódem, což je podle nás důležitá součást zvyšování odolnosti naší infrastruktury.

Markéta Gregorová

• Česká politička a od roku 2019 poslankyně Evropského parlamentu.
• Členka Výboru pro mezinárodní obchod a Zvláštního výboru pro zahraniční vměšování do všech demokratických procesů v Evropské unii.
• Na přípravě finálního znění směrnice NIS2 se přímo podílela jako tzv. stínová zpravodajka Výboru pro zahraniční věci Evropského parlamentu

Komentář výrobce hardwaru

„Jako zodpovědný evropský výrobce IT produktů – hlavně síťových zařízení pro kamerové systémy – bereme téma kyberbezpečnosti velmi vážně, a tak pro nás nástup NIS2 nebude znamenat žádnou výraznou změnu v nastaveném kurzu. Kamery a další síťové technologie se pravidelně stávají terčem nebo přímo nástrojem útoků – ať už jde o únik citlivých firemních či osobních dat, nebo třeba botnetové útoky, které v minulosti využívaly i nechráněné síťové kamery. Proto máme bezpečnostní závazky NIS2 u našich produktů už delší dobu zavedené – jde například o správu a detekci zranitelností, testování a audit, dlouhodobě konzistentní podporu firmware, šifrování v koncových zařízeních, vícefaktorové ověřování, bezpečnost jako hlavní kritérium při vývoji produktů a mnoho dalších funkcionalit. Kroky Evropské unie k posílení ochrany klíčových subjektů tedy velice vítáme, koncoví uživatelé tak budou mít zákonné vodítko pro výběr spolehlivých výrobců. Navíc ve světle posledního geopolitického vývoje jsou tyto kroky zcela opodstatněné.“

Dalibor Smažinka, Key Account Manager End Customers, Axis Communications

Více informací na stránce NÚKIB