Významné legislativní novinky v oblasti kybernetické bezpečnosti v roce 2024
Zákony a směrnice zabývající se bezpečností informací
V roce 2024 se očekává významný pokrok v oblasti zákonů a pokynů týkajících se kybernetické bezpečnosti. Už v současné době nabízí zavádění a implementace nových směrnic společnostem přesvědčivou pobídku a účinnou finanční páku k posilování jejich opatření v oblasti bezpečnosti informací.
Mezi příslušné předpisy patří:
- NIS 2 (Směrnice o bezpečnosti sítí a informací 2)
- CRA (Zákon o kybernetické odolnosti)
- AIA (Zákon o umělé inteligenci)
- DORA (Zákon o digitální provozní odolnosti)
- TISAX (Trusted Information Security Assessment Exchange)
1) NIS 2 (směrnice o bezpečnosti sítí a informací)
S novou směrnicí o kybernetické bezpečnosti "NIS 2" budou od října 2024 pro mnohé společnosti v určitých odvětvích platit povinná bezpečnostní opatření a povinnosti hlášení v případě bezpečnostních incidentů. Konečné znění verze 2 bylo totiž koncem roku 2022 zveřejněno v Úředním věstníku EU a členské státy musí následně tuto směrnici implementovat do 21 měsíců do svých vnitrostátních právních předpisů, což v tomto konkrétním případě znamená mezní datum 17. 10. 2024.
2) Zákon o kybernetické odolnosti (Cyber Resilience Act)
Navrhované nařízení oznámené v rámci Strategie kybernetické bezpečnosti EU 2020 má doplnit stávající právní předpisy, zejména rámec kolem NIS 2. Týká se všech zařízení, která jsou přímo nebo nepřímo připojena k jinému zařízení nebo síti. Samozřejmě existují i výjimky (např. open source nebo již silně regulované oblasti, jako jsou lékařské přístroje nebo automobily). To znamená, že výrobní podniky budou muset od nynějška brát kybernetickou bezpečnost vážněji v celém výrobním cyklu.
3) Zákon o umělé inteligenci (Artificial Intelligence Act)
Tento zákon má regulovat používání umělé inteligence v EU. Evropská komise jej zveřejnila jako součást digitální strategie EU - jediné svého druhu na světě. Návrh obsahuje konkrétní návrhy pro nakládání s umělou inteligencí ve vztahu k výzkumu a podnikání. Nic z toho však dosud nebylo transponováno do vnitrostátního práva. Přesto má smysl, aby podniky zvážily možné důsledky již nyní.
4) Zákon o digitální provozní odolnosti (Digital Operational Resilience Act)
Zákon DORA se týká společností ve finančním sektoru. Zahrnuje řadu velmi detailně popsaných požadavků, které je třeba zohlednit. Jedná se mimo jiné o analýzy budoucích rizik ze strany služeb třetích stran, kterými jsou například poskytovatelé cloudových služeb.
Nařízení EU 2022/2554 o digitální provozní odolnosti ve finančním sektoru (DORA) vstoupilo v platnost 16. ledna 2023. Požadavky nařízení DORA musí dotčené společnosti zavést do 17. ledna 2025.
5) TISAX (Trusted Information Security Assessment Exchange)
Německé sdružení automobilového průmyslu (VDA) zveřejnilo 16. října 2023 novou verzi 6 katalogu ISA. Tento kontrolní rámec definuje požadavky na kybernetickou a informační bezpečnost odpovídající nejnovější úrovni techniky pro dodavatele z pohledu automobilového průmyslu a představuje auditní základ pro posuzování podle standardu TISAX®. Více jsme o změnách a časovém harmonogramu publikovali v našem dalším textu Verze 6.
Všechny výše uvedené směrnice jsou v podstatě odrazem neustále rostoucích výzev a příležitostí v éře digitalizace a zdůrazňují naléhavost zavedení adaptivních a odolných bezpečnostních opatření. To má zásadní význam pro účinnou ochranu nejen zákazníků a obchodních partnerů, ale i vlastních společností a také společnosti jako celku.
Další materiály k prostudování:
Aby Vám žádné z našich novinek neutekly, zaregistrujte se k odběru našeho newsletteru vyplněním jednoduchého formuláře!