NIS2 a nový Zákon o kybernetické bezpečnosti

Koho se týká a jaké povinnosti přináší?

Nový Zákon o kybernetické bezpečnosti (dále také ZoKB) a související vyhlášky zavádí požadavky evropské směrnice NIS2 Network and information security do českého právního prostředí. Směrnice NIS2 zvyšuje požadavky na kybernetickou bezpečnost v Evropské unii. Zákon připravuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) a je aktuálně ve fázi připomínkování u Legislativní rady vlády. Účinnost zákona se v České republice předpokládá na podzim 2024.

Spadám pod NIS2/ZoKB?

Stáhnout příručku o NIS2

Obsah

Kapitola 1
Co to je NIS2 a jak souvisí se Zákonem o kybernetické bezpečnosti?

Kapitola 2
Platí pro vás nový Zákon o kybernetické bezpečnosti?

Kapitola 3
Jak se na ZoKB připravit?

Kapitola 4
Užitečné materiály k NIS2 a ZoKB

Kapitola 5
Často kladené otázky k NIS2

Co to je NIS2 a jak souvisí se Zákonem o kybernetické bezpečnosti?

NIS2 Network and Information Security je modernizovaná verze směrnice NIS z roku 2016. Jejím cílem je posílit a zabezpečit evropský kyberprostor. Členské státy EU mají povinnost implementovat tuto směrnici do svého právního systému. NIS2 přináší nová opatření pro zlepšení kybernetické bezpečnosti.

Navržený nový Zákon o kybernetické bezpečnosti má nahradit současný zákon z roku 2014. Návrh nového zákona přináší tyto klíčové změny:

Regulované organizace a služby: Nový zákon se týká nově regulovaných subjektů a zároveň upravuje působnost na další systémy a služby organizací, které již podléhají stávajícímu kybernetickému zákonu.
Bezpečnost dodavatelského řetězce: Nový ZoKB klade větší důraz na bezpečnost dodavatelského řetězce.
Hlášení incidentů: Regulované subjekty budou mít povinnost hlásit kybernetické incidenty.
Pokuty: Maximální výše pokuty za porušení povinností zákona může činit 250 mil. Kč nebo 2 % z čistého celosvětového ročního obratu.
Odpovědnost a povinnosti vedení: Zákon zdůrazňuje odpovědnost a povinnosti vrcholného vedení organizací.

Český zákon ve faktech

Nový Zákon o kybernetické bezpečnosti implementuje požadavky směrnice NIS2 do českého právního řádu.
Účinnost zákona se očekává na podzim 2024.
Pro společnosti je klíčové, zda spadají pod nižší nebo vyšší režim. Od toho se odvíjí jejich povinnosti.

Platí pro vás nový Zákon o kybernetické bezpečnosti?

Už víte, jestli se připravované změny týkají vaší společnosti? Pomocí našeho bezplatného dotazníku zjistíte, jestli jste poskytovatelem regulované služby podle nového návrhu Zákona o kybernetické bezpečnosti. Na konci dotazníku pro vás shrneme přehled povinností, abyste věděli, na co se máte připravit, až ZoKB vstoupí v platnost.

Otestujte se: Spadáte pod NIS2 / nový ZoKB?

Stáhněte si e-book s přehledem povinností

Už víte, jaké povinnosti se týkají vaší firmy? Chcete mít přehled o tom, co je potřeba splnit? Stačí si stáhnout náš informativní přehled do e-mailu.

Jak se na ZoKB připravit?

Schválení nového zákona ještě chvíli potrvá, pojďme se společně podívat na to, co pro svoji firmu z hlediska bezpečnosti můžete udělat už teď:

Zmapujte aktuální stav bezpečnosti ve vaší organizaci, definujte jednotlivá aktiva (i) dle jejich významu a jejich dopadu na narušení běžného fungování organizace.

Kategorizace aktiv a analýza rizik
Prověřte IT infrastrukturu, aplikace nebo síťové systémy vaší organizace (z pohledu útočníka) s cílem identifikovat slabiny a nedostatky v jejich zabezpečení.

Penetrační testování
Skenování zranitelností
Zpracujte plán implementace bezpečnostních opatření a začněte s jejich realizací co nejdříve. Zavedení systému řízení kybernetické bezpečnosti ve vaší organizaci může trvat i několik měsíců.

Zajištění souladu se Zákonem o kybernetické bezpečnosti (evropskou směrnicí NIS2)
Již nyní můžete začít se zvyšováním povědomí o kybernetické bezpečnosti ve vaší organizaci. Vzdělaní zaměstnanci jsou klíčovým faktorem při prevenci kybernetických útoků.

Sociální inženýrství
E-learning: Školení kybernetické bezpečnosti (Basic)
E-learning: Školení kybernetické bezpečnosti (Premium)

Jaké bezpečnostní řešení vám pomůže s plněním povinností?

Zavedení kryptografie

Řízení přístupu a identit

Vícefázové ověření s ESET Secure Authentication

Zajištění síťové a aplikační bezpečnosti

Postupy pro bezpečnostní události a incidenty

Potřebujete odbornou konzultaci ohledně NIS2/ZoKB?

Pošlete nám své kontaktní údaje a některý z našich specialistů se vám co nejdříve ozve.

Užitečné materiály k NIS2 a ZoKB

NIS2: Nejnovější legislativa EU
pro oblast kybernetické bezpečnosti

Co NIS2 přináší nového oproti původní směrnici NIS?
Jakých odvětví se NIS2 týká?
Jak se bude NIS2 uplatňovat?
Co směrnice NIS2 znamená pro malé a střední podniky?
Jaké povinnosti přinese nový ZKB?

Stáhnout e-book

Jaké povinnosti přinese nový Zákon o kybernetické bezpečnosti?

Co obsahuje netrpělivě očekávaná verze nového Zákona o kybernetické bezpečnosti (ZKB)....

PŘEČÍST ČLÁNEK >

Vladěna Sasková: Významně se zvyšují sankce za neplnění povinností ZKB/NIS2

Vladěna Sasková z Národního úřadu pro kybernetickou a informační bezpečnost představuje požadavky nejnovější legislativy...

PODÍVAT SE NA VIDEO

Jste připraveni na NIS2? Otestujte si své znalosti nové směrnice

Chcete získat cenné informace a ověřit si znalosti o NIS2? Vyzkoušejte náš kvíz...

PŘEČÍST ČLÁNEK

5 způsobů, jak zvládnout hrozbu v podobě vedoucích pracovníků

Požadavky NIS2 zahrnují povinné vzdělávání vrcholného vedení organizace a větší odpovědnost managementu za zajišťování kybernetické bezpečnosti...

PŘEČÍST ČLÁNEK

Nejčastější rizika v dodavatelském řetězci a jak se jim vyhnout

Spadáte mezi poskytovatele strategicky významných služeb? Pak budete muset zavést mechanismus prověřování dodavatelského řetězce.

PŘEČÍST ČLÁNEK

NIS2: Co očekávat od nové evropské směrnice o kyberbezpečnosti?

Po zavedení směrnice o bezpečnosti sítí a informací (NIS) v roce 2016 se Evropská unie rozhodla zaujmout přísnější postoj, rozšířit...

PŘEČÍST ČLÁNEK

Často kladené otázky k NIS2

Co je NIS2?

NIS2 je směrnice Evropského parlamentu a Rady Evropské unie, která by měla přispět ke zvýšení kybernetické bezpečnosti napříč EU. Každá členská země je povinna přenést povinnosti vyplývající z této směrnice do lokální legislativy. Česká republika respektive NÚKIB bude tyto povinnosti upravovat v novém Zákonu o kybernetické bezpečnosti a navazujících vyhláškách.

Kdy bude platit NIS2?

Směrnice NIS2 byla na úrovni EU přijata v prosinci 2022. Členské státy musí přenést povinnosti směrnice do lokální legislativy do 18. října 2024. Aktuálně je nový Zákon o kybernetické bezpečnosti a navázané vyhlášky v připomínkovém řízení. Od data účinnosti ZKB začne organizacím běžet lhůta na registraci u Národního úřadu pro kybernetickou a informační bezpečnost. Následně jim NÚKIB zašle vyrozumění o zápisu regulované služby, a poté budou mít 1 rok na zavedení nezbytných bezpečnostních opatření.

Spadám pod NIS2?

NIS2 respektive nový Zákon o kybernetické bezpečnosti dopadne v Česku na minimálně 6 000 organizací oproti stávajícím 300. Zákon bude regulovat přes 105 služeb v 18 odvětvích. Hlavními kritérii pro určení, jestli organizace spadá pod povinnosti nového Zákona, jsou její velikost (počet zaměstnanců nebo obrat) a služby, které poskytuje (poskytuje alespoň jednu tzv.regulovanou službu). Zákon rozděluje poskytovatele regulované služby, kteří naplní daná kritéria, do dvou kategorií – režimu nižších nebo vyšších povinností.

Jaké největší změny přináší NIS2?

Oproti původní směrnici NIS a Zákonu o kybernetické bezpečnosti významně naroste počet regulovaných subjektů. Zvyšují se také sankce z původních 5 milionů Kč na 250 mil. Kč (nebo 2 % celosvětového ročního obratu) a přibyly také nefinanční sankce jako pozastavení certifikace nebo pozastavení výkonu řídicí funkce vrcholného managementu. Mezi nejvýznamnější změny v povinnostech patří:

zodpovědnost vrcholného managementu za řízení kybernetické bezpečnosti,
nutnost kontinuálního zvyšování bezpečnostního povědomí,
potřeba identifikovat a evidovat aktiva (u vyššího režimu pak ještě povinnost identifikovat a hodnotit rizika),
zavedení minimálních (smluvních i bezpečnostních) požadavků na dodavatele.

Co je samoidentifikace?

Organizace musí samy posoudit, jestli splňují kritéria a vztahují se na ně povinnosti nového Zákona. Může mu k tomu pomoci Vyhláška o regulovaných službách anebo náš webový rozcestník. Pokud společnost kritéria naplňuje, musí se registrovat u Národního úřadu pro kybernetickou a informační bezpečnost prostřednictvím jejich platformyPortál NÚKIB. Následně musí stanovit systém řízení kybernetické bezpečnosti dle rozsahu povinností, které se liší podle toho, zda regulovaná služba spadá do vyššího nebo nižšího režimu povinností (přehled povinností se dozvíte v našem rozcestníku).

Kdo bude kontrolovat plnění povinností nového Zákona?

Oficiální kontroly bude provádět NÚKIB, nicméně kontrolu může provést i dozorový orgán dle odvětví, například pro letectví Úřad pro civilní letectví (ÚCL) nebo Česká národní banka (ČNB) pro finanční instituce.