V dynamickém prostředí kybernetické bezpečnosti učinila Evropská unie (EU) významný krok vpřed zavedením směrnice o bezpečnosti sítí a informací 2 neboli NIS2. Tato směrnice, která nahradila svou předchůdkyni NIS, má posílit odolnost a kapacity pro reakci na incidenty v členských státech EU.
Pochopení podstaty směrnice NIS2
Směrnice NIS2 vzniká jako reakce na rostoucí výzvy, které představuje prudký nárůst hrozeb v oblasti kybernetické bezpečnosti, zdůrazněný událostmi, jako je pandemie COVID-19 a rusko-ukrajinská válka. Systém NIS2, schválený Radou EU, staví na základech položených směrnicí NIS, která byla původně sankcionována v roce 2016.
Klíčové cíle a oblast působnosti
Hlavním cílem NIS2 je stanovit základ pro opatření k řízení rizik v oblasti kybernetické bezpečnosti a povinnosti podávat zprávy napříč odvětvími, jako je energetika, doprava, zdravotnictví a digitální infrastruktura. NIS2 zavádí nové pravidlo „velikostního limitu“, díky němuž do jeho působnosti spadají střední a velké subjekty – tedy ty, které mají více než 50 zaměstnanců nebo roční příjmy ve výši 10 milionů eur.
Cílem směrnice je harmonizovat požadavky na kybernetickou bezpečnost a prováděcí opatření mezi členskými státy. Stanovuje minimální pravidla pro regulační rámec a usnadňuje účinnou spolupráci mezi příslušnými orgány. Tento přístup založený na spolupráci má zásadní význam při řešení dynamické a přeshraniční povahy kybernetických hrozeb.
Zapracování zkušeností z minulosti
Na základě zkušeností z předchozí směrnice zavádí NIS2 významná vylepšení. Jedním z pozoruhodných doplnění je vytvoření evropské sítě styčných organizací pro kybernetické krize (EU-CyCLONe), která podporuje koordinované řízení rozsáhlých kybernetických bezpečnostních incidentů a krizí.
Kromě toho se NIS2 přizpůsobuje odvětvovým právním předpisům, jako je zákon o digitální provozní odolnosti (Digital Operational Resilience Act, DORA) pro finanční sektor a zákon Centra pro evropskou reformu (Center for European Reform, CER) o odolnosti kritických subjektů. Toto sladění zajišťuje právní jasnost a soudržnost mezi NIS2 a těmito akty, což zefektivňuje úsilí o dodržování předpisů.
Přínosy a výzvy
Cituji z nedávných článků: Očekává se, že normy kybernetické bezpečnosti NIS2, které musí členské státy EU zavést do října 2024, se budou týkat více než 100 000 organizací. To podtrhuje široký význam a dosah směrnice a zdůrazňuje její potenciální dopad na různá odvětví a subjekty.
Navzdory očekávaným přínosům existují výzvy, zejména pokud jde o prosazování a přijetí. Ačkoli směrnice stanoví jasná pravidla, implementace postupů, jako je prosazování přístupu s nejmenšími oprávněními a průběžné monitorování, které jsou základem zásad nulové důvěryhodnosti zakotvených v NIS2, může pro některé subjekty představovat výzvu.
Závěr
Přijetí směrnice NIS2 v EU představuje zásadní okamžik v oblasti kybernetické bezpečnosti v regionu. Řešením měnící se povahy kybernetických hrozeb a začleněním zkušeností z minulosti vytváří NIS2 základ pro odolnější a kooperativnější přístup ke kybernetické bezpečnosti ve všech členských státech. Vzhledem k tomu, že se organizace připravují na splnění požadavků směrnice, stává se společný závazek k vysoké společné úrovni kybernetické bezpečnosti prvořadým pro ochranu digitálních základů Evropské unie.
