Hlavní povinnosti
Co vše je potřeba splnit?
NIS2, respektive nový zákon o kybernetické bezpečnosti, přináší celou řadu nových a rozšířených povinností, které je nutné splnit.
Lhůty
Nový zákon zavádí lhůty, které je nutné dodržet. Od doby nabytí účinnosti zákona běží firmám šedesátidenní lhůta na ohlášení regulované služby přes portál NÚKIB, ten následně firmu zaregistruje. Ode dne registrace poté běží dvě lhůty: třicetidenní k nahlášení kontaktních údajů a přechodná lhůta jednoho roku k implementaci povinností.
Ohlášení regulované služby
V případě, že daná firma spadá pod jednu z regulovaných služeb a vyhodnotí si, že zároveň splňuje tzv. podmínky významnosti (jako velikost či obrat), musí skrze portál NÚKIB provést ohlášení, a to nejpozději do 60 dnů ode dne, kdy došlo ke splnění podmínek pro registraci. NÚKIB organizaci následně zaregistruje a pomocí datové schránky doručí rozhodnutí o registraci. Od tohoto dne následně běží zákonné lhůty pro splnění regulatorních požadavků – viz popis výše. Pokud dojde ke zjištění splnění podmínek ve správním řízení, dojde i k registraci poskytovatele regulované služby – v tomto případě je poskytovatel vždy v režimu vyšších povinností.
Hlášení incidentů
Jednou z hlavních povinností, které nový kybernetický zákon zavádí, je nahlašování bezpečnostních incidentů. Incidentem se rozumí jakékoliv narušení bezpečnosti informací. Povinnost hlásit incidenty existuje v obou regulatorních stupních, a to nejpozději do jednoho roku od doručení rozhodnutí o registraci NÚKIBem. Co, kdy a komu hlásit se však podle regulatorních stupňů liší:
Ve vyšším režimu
– Nahlašují se všechny incidenty, které mají původ v kybernetickém prostoru a nelze u nich vyloučit úmyslné zavinění
– Incidenty se hlásí NÚKIB
V nižším režimu
– Nahlašují se všechny incidenty, které mají původ v kybernetickém prostoru, mají významný dopad a nejde u nich
vyloučit úmyslné zavinění
– Incidenty se hlásí národnímu CERT
Jak hlášení probíhá?
Povinnost hlásit incident klientům
Poskytovatel regulované služby informuje uživatele služby o incidentu s významným dopadem, pokud to považuje z důvodu zajištění řádné služby za nutné – NÚKIB může vzhledem k dopadům incidentu uložit povinnosti nebo zákaz informovat uživatele.
Poskytovatel regulované služby je povinen bez zbytečného odkladu vhodným a srozumitelným způsobem informovat uživatele, který může být ovlivněn významnou hrozbou, o takových krocích, které může uživatel učinit v reakci na tuto hrozbu, aby byl případný dopad její realizace na tohoto uživatele co nejmenší.
Opatření
Nový zákon o kybernetické bezpečnosti zavádí celou sadu opatření, která musí každý z regulovaných stupňů dodržovat. Ta jsou rozdílná pro nižší a vyšší regulatorní stupeň – vyberte si příslušnou variantu pro více informací. Zároveň upozorňujeme, že vše vychází z aktuální podoby návrhu zákona a souvisejících vyhlášek.
Seznam opatření v nižším regulatorním stupni
V nižším regulatorním stupni nalezneme podstatně méně opatření než ve vyšším stupni. Například v nižším stupni není potřeba jmenovat manažera, architekta ani auditora kybernetické bezpečnosti. Je však potřeba jmenovat osobu, která odpovídá za řízení a rozvoj kybernetické bezpečnosti a komunikaci s vrcholným vedením. I tak je ale nutné všem opatřením věnovat pečlivou pozornost.
Opatření
Nový zákon o kybernetické bezpečnosti zavádí celou sadu opatření, která musí každý z regulovaných stupňů dodržovat. Ta jsou rozdílná pro nižší a vyšší regulatorní stupeň – vyberte si příslušnou variantu pro více informací. Zároveň upozorňujeme, že vše vychází z aktuální podoby návrhu zákona a souvisejících vyhlášek.
Seznam opatření v nižším regulatorním stupni
V nižším regulatorním stupni nalezneme podstatně méně opatření než ve vyšším stupni. Například v nižším stupni není potřeba jmenovat manažera, architekta ani auditora kybernetické bezpečnosti. Je však potřeba jmenovat osobu, která odpovídá za řízení a rozvoj kybernetické bezpečnosti a komunikaci s vrcholným vedením. I tak je ale nutné všem opatřením věnovat pečlivou pozornost.