Co by vám nemělo uniknout
NIS-2 a budoucnost kybernetické bezpečnosti
Na 30. qualityaustria Forum se v březnu 2025 odborníci z celé řady průmyslových odvětví věnovali aktuálním regulačním výzvám. Cesty současným labyrintem NIS-2 pak představil CEO společnosti CIS GmbH, p. Harald Erkinger. Kybernetická bezpečnost a budoucnost s NIS-2 jsou totiž v součastnosti pro mnohé společnosti a firmy ústředním tématem mnoha úvah.
Digitalizace rychle postupuje a pro mnoho společností stejnou rychlostí rostou i výzvy s ní spojené. Velké obavy vzbuzuje na jedné straně především kybernetická kriminalita a na té druhé zase nové směrnice, jako je například NIS-2. Pro mnoho společností je totiž zavádění, resp. povinnost zavedení této směrnice (NIS-2) stále spojeno s velkou nejistotou. Harald Erkinger, CEO společnosti CIS - Certification & Information Security Services GmbH, zahájil svou prezentaci o NIS-2 zásadní otázkou: totiž na koho z přibližně 400 účastníků se směrnice vztahuje? Zhruba 30 % přítomných si bylo jistých, že ano a dalších 10 % respondentů odpovědělo jednoznačně záporně. Převážné většině účastníků napříč různými odvětvími nebylo jasné, zda se na ně směrnice vůbec vztahuje. Přečtěte si tedy i vy, zda se směrnice týká i vaší společnosti.
Pojmy „kritická infrastruktura“ a „dotčené sektory"
Směrnice NIS-2 určuje jako kritickou infrastrukturu ty sektory (sítě, služby, systémy) státu, jejichž narušení by mělo významný dopad na jeho základní společenské funkce, tedy zdraví nebo bezpečnost obyvatel, ekonomiku a pořádek.
Nejdůležitější rozdíl mezi těmito dvěma skupinami (s ohledem na audit NIS-2) spočívá v tom, že subjekty spadající pod kritickou infrastrukturu jsou pravidelně a cíleně auditovány ex ante (předem), zatímco dotčené sektory (tzn. s vazbou na kritickou infrastrukturu) jsou auditována ex post (dodatečně) v případě incidentu nebo podezření.
NIS-2 zde zůstane
Skutečnost je taková, že NIS-2 přichází a zaměření na kybernetickou bezpečnost, odolnost a NIS-2 je nutností. Implementace směrnice však vyžaduje čas, zdroje a personál - bez externí podpory bude NIS-2 obtížně zvládnutelný projekt.
Podnikům proto doporučujeme, aby s implementací začaly již nyní a využily osvědčené rámce, jako je ISO 27001, k vytvoření strukturovaného základu pro plnění opatření v oblasti kybernetické bezpečnosti. CIS pro tento účel nabízí také kombinovaný audit NIS Act a ISO 27001.
Harald Erkinger, CEO společnosti CIS - Certification & Information Security Services GmbH, ohledně směrnice NIS-2:
„Všechny společnosti dotčené NIS-2 musí implementovat a dodržovat všechny požadavky NIS-2. Manažeři mají povinnost školení a odpovědnosti a incidenty v oblasti kybernetické bezpečnosti musí být hlášeny do 24 hodin. A jedna věc je zaručena - zákonodárci budou kontrolovat, zda společnosti provádějí požadovaná opatření v oblasti bezpečnosti informací. Prevence je lepší než léčba – CIS doporučuje, aby se společnosti chránily nezávislým sebehodnocením a nechaly si audit provést zkušenými auditory NIS, jako jsou ti v CIS.“
Na obrázku : Harald Erkinger (CEO CIS) © Anna Rauchenberger
6 doporučení, která vám usnadní proces zavádění NIS-2
Aby byly společnosti a firmy nejen dobře připraveny, až směrnice přijde, ale také aby tuto výzvu využily jako faktor úspěchu, poskytl Harald Erkinger šest tipů, jak se s NIS-2 vypořádat:
- Využijte NIS-2 jako příležitost k odolnosti proti kybernetickým hrozbám.
- Nečekejte na zákon, začněte hned.
- Nepodceňujte množství úsilí, které budete muset vynaložit.
- Počítejte s tím, že budete potřebovat externí specialisty a až zákon vstoupí v platnost budou tito odborníci zahlceni poptávkou.
- Zůstaňte orientovaní na rizika, buďte nákladově efektivní a účinní.
- Buďte připraveni na dlouhou cestu.
Pokud potřebujete více informací, neváhejte se na obrátit na náš tým! Napište nám.