Neztraťte krok s NIS2 a se Zákonem o kybernetické bezpečnosti

Od roku 2025 budou mít organizace s největší pravděpodobností 1 rok na zavedení požadavků evropské směrnice NIS2 a nového Zákona o kybernetické bezpečnosti (ZoKB). Už víte, jestli se vás tyto změny týkají a jak je implementovat?

Obsah

Platí pro vás nový Zákon o kybernetické bezpečnosti?

Už víte, jestli se připravované změny týkají vaší společnosti? Pomocí našeho bezplatného dotazníku zjistíte, jestli jste poskytovatelem regulované služby podle nového návrhu Zákona o kybernetické bezpečnosti. Na konci dotazníku pro vás shrneme přehled povinností, abyste věděli, na co se máte připravit, až ZoKB vstoupí v platnost.


Otestujte se: Spadáte pod NIS2 / nový ZoKB?

Stáhněte si e-book s přehledem povinností

Získejte přehledný výčet povinností, které je potřeba splnit, abyste naplnili požadavky nového kybernetického zákona. Stačí si stáhnout dokument do vašeho e-mailu. Výčtem povinností naše pomoc teprve začíná. Dalším krokem je konzultace s našimi experty.

Veškeré osobní údaje budou zpracovány v souladu s našimi zásadami ochrany osobních údajů.
2

ESET konference: Prozradíme, jak na NIS2/ZoKB



Kdy13. 11. 2024 (středa)

Přední odborníci na kyberbezpečnost se s vámi podělí o praktické zkušenosti s implementací NIS2/ZoKB a poradí, jaká preventivní opatření můžete zavést už nyní. Nepromeškejte příležitost získat bezplatně cenné informace, které vám pomohou být o krok napřed a navázat nové kontakty v oboru. Registrujte se co nejdříve, počet míst je omezený.


Proč přijít?

  • Dozvíte se, jak se připravit na NIS2 a ZoKB.
  • Získáte přehled o nejnovějších trendech a výzvách kybernetické bezpečnosti.
  • Nejnovější poznatky a strategie se dozvíte od předních odborníků v oboru.
  • Příležitost setkat se s profesionály a vyměnit si zkušenosti.
  • ESET má přes 30 let zkušeností v oblasti kyberbezpečnosti a je lídrem na trhu.

Jak se připravit na ZoKB?

Účinnost nové regulace se předpokládá k 1. lednu 2025. K plnění některých povinností, jako například zavádění bezpečnostních opatření, zákon stanovuje roční přechodovou lhůtu. Pojďme se společně podívat na to, co pro svoji firmu z hlediska bezpečnosti můžete udělat a kde vám může pomoct ESET.
 

8 KROKŮ KE ZVÝŠENÍ BEZPEČNOSTI PODLE NIS2/ZOKB 

  1. KROK: Zmapujte aktuální stav bezpečnosti ve vaší organizaci, definujte aktiva dle jejich významu a jejich dopadu na narušení běžného fungování organizace. 

    Kategorizace aktiv a analýza rizik
     
  2. KROK: Prověřte IT infrastrukturu, aplikace nebo síťové systémy vaší organizace (z pohledu útočníka) s cílem identifikovat slabiny a nedostatky v jejich zabezpečení.

    Penetrační testování
    Skenování zranitelností
     
  3. KROK:Zpracujte plán implementace bezpečnostních opatření. Zavedení systému řízení kybernetické bezpečnosti ve vaší organizaci může trvat i několik měsíců.

    Zajištění souladu se Zákonem o kybernetické bezpečnosti (evropskou směrnicí NIS2)
     
  4. KROK: Zvyšujte povědomí o kybernetické bezpečnosti ve vaší organizaci. Vzdělaní zaměstnanci jsou klíčovým faktorem při prevenci kybernetických útoků.

    Sociální inženýrství
    E-learning: Školení kybernetické bezpečnosti (Basic)
    E-learning: Školení kybernetické bezpečnosti (Premium)

Potřebujete spolehlivého partnera nebo odbornou konzultaci?

Pošlete nám své kontaktní údaje a naši experti se vám co nejdříve ozvou.

Veškeré osobní údaje budou zpracovány v souladu s našimi zásadami ochrany osobních údajů.

Užitečné materiály k NIS2 a ZoKB

NIS2: Nejnovější legislativa EU
pro oblast kybernetické bezpečnosti

Co NIS2 přináší nového oproti původní směrnici NIS?
Jakých odvětví se NIS2 týká?
Jak se bude NIS2 uplatňovat?
Co směrnice NIS2 znamená pro malé a střední podniky?
Jaké povinnosti přinese nový ZKB?



Největší hrozby pro firemní mobilní zařízení


Zatímco zabezpečení počítačů je všeobecně považováno za základ, jak je to s mobilními zařízeními, která nás často provázejí...

PŘEČÍST ČLÁNEK >

Správa zranitelností jako základ kyberprevence


Aktivní sledování a záplatování zranitelností v systémech a aplikacích je klíčové pro prevenci narušení dat, přestože IT správci...

PŘEČÍST ČLÁNEK >

Kyberprevence: Jak snížit náklady a zvýšit bezpečnost?


Podniky se stále více zaměřují na kyberprevenci jako nákladově nejefektivnější způsob ochrany před kybernetickými útoky...

PŘEČÍST ČLÁNEK

Implementace webových kontrol: Jak může...


Mnoho zaměstnanců tráví většinu pracovního dne prohlížením webového obsahu, což může vést k riziku napadení malwarem...

PŘEČÍST ČLÁNEK

Jaké povinnosti přinese nový Zákon o kybernetické bezpečnosti?


Co obsahuje netrpělivě očekávaná verze nového Zákona o kybernetické bezpečnosti (ZKB)....
 

PŘEČÍST ČLÁNEK >

Vladěna Sasková: Významně se zvyšují sankce za neplnění povinností ZKB/NIS2


Vladěna Sasková z Národního úřadu pro kybernetickou a informační bezpečnost představuje požadavky nejnovější legislativy...

PODÍVAT SE NA VIDEO

NIS2: Co očekávat od nové evropské směrnice o kyberbezpečnosti?


Po zavedení směrnice o bezpečnosti sítí a informací (NIS) v roce 2016 se Evropská unie rozhodla zaujmout přísnější postoj, rozšířit...

PŘEČÍST ČLÁNEK

5 způsobů, jak zvládnout hrozbu v podobě vedoucích pracovníků


Požadavky NIS2 zahrnují povinné vzdělávání vrcholného vedení organizace a větší odpovědnost managementu za zajišťování kybernetické bezpečnosti...

PŘEČÍST ČLÁNEK

Nejčastější rizika v dodavatelském řetězci a jak se jim vyhnout


Spadáte mezi poskytovatele strategicky významných služeb? Pak budete muset zavést mechanismus prověřování dodavatelského řetězce.

PŘEČÍST ČLÁNEK

Často kladené otázky k NIS2

Co je NIS2?

NIS2  je modernizovaná verze směrnice NIS z roku 2016. Jejím cílem je posílit a zabezpečit evropský kyberprostor. Členské státy EU mají povinnost implementovat tuto směrnici do svého právního systému. NIS2 přináší nová opatření pro zlepšení kybernetické bezpečnosti.

  • Nový Zákon o kybernetické bezpečnosti implementuje požadavky směrnice NIS2 do českého právního řádu.
  • Pro společnosti je klíčové, zda spadají pod nižší nebo vyšší režim. Od toho se odvíjí jejich povinnosti.

Navržený nový Zákon o kybernetické bezpečnosti má nahradit současný zákon z roku 2014. Návrh nového zákona přináší tyto klíčové změny:

  • Regulované organizace a služby: Nový zákon se týká nově regulovaných subjektů a zároveň upravuje působnost na další systémy a služby organizací, které již podléhají stávajícímu kybernetickému zákonu.
  • Bezpečnost dodavatelského řetězce: Nový ZoKB klade větší důraz na bezpečnost dodavatelského řetězce.
  • Hlášení incidentů: Regulované subjekty budou mít povinnost hlásit kybernetické incidenty.
  • Pokuty: Maximální výše pokuty za porušení povinností zákona může činit 250 mil. Kč nebo 2 % z čistého celosvětového ročního obratu.
  • Odpovědnost a povinnosti vedení: Zákon zdůrazňuje odpovědnost a povinnosti vrcholného vedení organizací.

 

Kdy bude platit NIS2?

Směrnice NIS2 byla na úrovni EU přijata v prosinci 2022. Návrh zákona byl 17. července 2024 schválen vládou. Účinnost nové regulace se předpokládá k 1. lednu 2025. K plnění některých povinností, jako například zavádění bezpečnostních opatření, zákon stanovuje roční přechodovou lhůtu.

Spadám pod NIS2?

NIS2 respektive nový Zákon o kybernetické bezpečnosti dopadne v Česku přibližně na 6 000 organizací oproti stávajícím 300. Zákon bude regulovat přes 105 služeb v 18 odvětvích. Hlavními kritérii pro určení, jestli organizace spadá pod povinnosti nového Zákona, jsou její velikost (počet zaměstnanců nebo obrat) a služby, které poskytuje (alespoň jednu tzv. regulovanou službu).

Zákon rozděluje poskytovatele regulované služby, kteří naplní daná kritéria, do dvou kategorií – režimu nižších a vyšších povinností. Pokud stále nevíte, do jaké kategorie spadáte - otestujte se pomocí našeho dotazníku.

Jaké největší změny přináší NIS2?

Oproti původní směrnici NIS a Zákonu o kybernetické bezpečnosti významně naroste počet regulovaných subjektů. Zvyšují se také sankce z původních 5 milionů Kč na 250 mil. Kč (nebo 2 % celosvětového ročního obratu) a přibyly také nefinanční sankce jako pozastavení certifikace nebo pozastavení výkonu řídicí funkce vrcholného managementu. Mezi nejvýznamnější změny v povinnostech patří:

  • zodpovědnost vrcholného managementu za řízení kybernetické bezpečnosti,
  • nutnost kontinuálního zvyšování bezpečnostního povědomí,
  • potřeba identifikovat a evidovat aktiva (u vyššího režimu pak ještě povinnost identifikovat a hodnotit rizika),
  • zavedení minimálních (smluvních i bezpečnostních) požadavků na dodavatele.

Co je samoidentifikace?

Organizace musí samy posoudit, jestli splňují podmínky pro registraci regulované služby a tedy vztahují se na ně povinnosti nového Zákona. Může jim k tomu pomoci Vyhláška o regulovaných službách anebo náš webový rozcestník. Pokud společnost podmínky naplňuje, musí se ohlásit u Národního úřadu pro kybernetickou a informační bezpečnost prostřednictvím jejich platformy Portál NÚKIB. Následně musí stanovit systém řízení kybernetické bezpečnosti dle rozsahu povinností, které se liší podle toho, zda regulovaná služba spadá do vyššího nebo nižšího režimu povinností (přehled povinností se dozvíte v našem rozcestníku).

Kdo bude kontrolovat plnění povinností nového Zákona?

Oficiální kontroly bude provádět NÚKIB, nicméně kontrolu může provést i dozorový orgán dle odvětví, například pro letectví Úřad pro civilní letectví (ÚCL) nebo Česká národní banka (ČNB) pro finanční instituce.

Jaké bezpečnostní role musím dle nového ZoKB v organizaci zavést?

Záleží na tom, do jakého režimu povinností spadá vámi poskytovaná regulovaná služba.

Pro nižší režim je potřeba zajistit osobu, která bude zodpovědná za řízení kybernetické bezpečnosti.

Pro vyšší režim je třeba určit manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti a auditora kybernetické bezpečnosti.

Jaký je rozdíl mezi NIS2 a DORA?

Jedná se o dvě rozdílné regulace vydané Evropským parlamentem a Radou Evropské unie, které byly publikovány v podobném období.

NIS2 je „směrnice“, takže každá členská země musí zavést povinnosti vyplývající z této směrnice do lokální legislativy. Zatímco DORA je „nařízení“, takže je již v tomto znění platné pro všechny členské země EU.

Regulace se od sebe liší rozsahem povinností a hlavně tím, koho se týkají. DORA je určena primárně pro finanční instituce, NIS2 se týká i organizací z dalších odvětví, včetně těch finančních.

Další rozdíl je v datech platnosti a účinnosti těchto regulací – DORA vešla v platnost v lednu 2023 a organizace mají 2 roky na zavedení jejích povinností, tj. do ledna 2025. NIS2 vešla v platnost v prosinci 2022 a členské státy mají povinnost zavést její obsah do lokální legislativy do října 2024, v ČR formou nového Zákona o kybernetické bezpečnosti. Od data účinnosti nového Zákona začne organizacím běžet lhůta na ohlášení regulované služby u NÚKIBu, a poté lhůta 1 roku na zavedení povinností.

V České republice se také liší dozorový orgán pro jednotlivé regulace – u NIS2 to bude Národní úřad pro kybernetickou a informační bezpečnost, v případě DORA to bude Česká národní banka.