Evropská směrnice NIS2 má významný dopad na malé a střední podniky v České republice

Evropská směrnice NIS2 o kybernetické bezpečnosti se dotkne více než 7 000 podniků v České republice, včetně veřejných i komerčních institucí. Působnost směrnice z roku 2016 se novým zákonem rozšiřuje a zahrnuje také kroky k posílení evropského kyberprostoru. V roce 2024 se předpokládá, že Česká republika implementuje směrnici do svého legislativního rámce a nahradí stávající legislativu novým zákonem o kybernetické bezpečnosti (nZKB). Hlavním tématem článku bude dopad NIS2 na malé a střední podniky v ČR.

Bezpečnostní hrozby, kterým čelí malé a střední podniky v České republice

Malé a střední podniky by si měly být vědomy případných problémů v oblasti kybernetické bezpečnosti, které mohou mít, bez ohledu na směrnici NIS2. Podle studie provedené společností SOITRON patří mezi tato nebezpečí:

1. Pokusy o hackerské útoky: 38 % českých malých a středních podniků hlásilo v roce 2021 nějaký druh kybernetické kriminality, takže pokusy o hackerské útoky jsou pro ně velkým problémem.
   
2. Phishingové útoky: Další velkou starost pro ně představují phishingové útoky, kterých se obává 31 % českých malých a středních podniků.
3. Útoky typu převzetí účtu a vydávání se za někoho jiného: Obavy z útoků typu převzetí účtu a vydávání se za někoho jiného vyjádřilo 38 % českých malých a středních podniků.
4. Malware, spyware a viry: Podle 34 % českých malých a středních podniků představují malware, spyware a viry hlavní obavy.
5. Ransomware: Pouze 15 % českých malých a středních podniků považuje ransomware za poslední možnost z osmi dostupných kybernetických hrozeb, které je nejvíce znepokojují.

Malé a střední podniky v České republice si musí být těchto kybernetických bezpečnostních hrozeb podle NIS2 vědomy a zavést vhodná bezpečnostní opatření, aby se ochránili před možnými útoky a zabránili poškození své pověsti a finanční újmě.

Jaké jsou největší příčiny nedostatečné kybernetické bezpečnosti českých malých a středních podniků?

1. Absence školení zaměstnanců: Pouze 19 % malých a středních podniků v EU a 15 % podniků v České republice uspořádalo v uplynulém roce školení nebo osvětu o nebezpečí kyberkriminality.
2. Absence hlášení incidentů: Pouze 11 % českých podniků oznamuje problémy v oblasti kybernetické bezpečnosti Národnímu úřadu pro kybernetickou a informační bezpečnost, což je poměrně špatný stav, neboť to hackery podporuje v jejich snaze o útok.
3. Nedostatek přísných pravidel pro hesla a firewally: Pouze 52 % malých a středních podniků v Evropě uvádí, že mají zavedené firewally, a jen 45 % z nich má zavedena silná pravidla pro hesla, což je nechává otevřené kybernetickým útokům.
4. Nedostatečná kybernetická odolnost: Česko má nedostatek odborníků na kybernetickou bezpečnost a je třeba rozvíjet schopnosti a kapacity, které umožní prevenci, odhalování a reakci na nepřátelské kybernetické aktivity a v případě potřeby i přisuzování útoků.

    

Jaké jsou konkrétní požadavky na kybernetickou bezpečnost v rámci NIS2 pro malé a střední podniky?

Směrnice NIS2 ukládá malým a středním podnikům v České republice zvláštní požadavky na kybernetickou bezpečnost. Mezi tyto povinnosti patří:

1. Organizace musí zavést přísnější zásady kybernetické bezpečnosti: včetně identifikace aktiv, omezení přístupu, parametrů systému řízení bezpečnosti, revize zásad a správného pořizování, vývoje a údržby sítí a informačních systémů.
2. Identifikace primárních aktiv: Společnosti budou muset identifikovat všechna primární aktiva související s poskytováním regulované služby a určit jejich podpůrná aktiva.
3. Řízení přístupu k aktivům: Společnosti budou muset kontrolovat přístup k aktivům a zajistit, aby k citlivým informacím měly přístup pouze oprávněné osoby.
4. Řízení rizik: Společnosti budou muset zavést komplexnější přístup k řízení rizik, včetně povinnosti identifikovat rizika, přijímat a vyhodnocovat opatření zaměřená na jejich zmírnění, vyhodnocovat plnění plánu řízení rizik a zajistit bezpečnost lidských zdrojů, pravidelná školení a řádnou kybernetickou hygienu.
5. Kryptografie nebo šifrování: Společnosti budou muset prosazovat zásady a postupy pro používání kryptografie nebo šifrování k ochraně citlivých informací.
6. Více-faktorové ověřování: Společnosti budou muset používat vícefaktorové ověřování, aby zajistily bezpečnost uživatelských účtů.
7. Audity kybernetické bezpečnosti: Společnosti budou muset provádět pravidelné audity kybernetické bezpečnosti, aby zjistily zranitelná místa a zajistily soulad se směrnicí NIS2.
8. Sdílení informací: Společnosti budou muset sdílet informace o kybernetických bezpečnostních incidentech s NÚKIB a dalšími příslušnými orgány.
9. Hlášení kybernetických bezpečnostních incidentů: Společnosti budou muset hlásit kybernetické bezpečnostní incidenty NÚKIB do 24 hodin od okamžiku, kdy se o nich dozvěděly.
10. Registrace, kontaktní a další údaje: Společnosti se budou muset u NÚKIB zaregistrovat a uvést své kontaktní a další relevantní údaje.

Nedodržení těchto povinností může vést k pokutám až do výše desítek milionů korun, úniku dat a dalším negativním důsledkům. Proto je nezbytné, aby se společnosti začaly na tyto nové povinnosti připravovat již nyní a zajistily tak soulad se směrnicí NIS2. Tímto postupem se společnosti mohou vyhnout případným finančním sankcím a ochránit své citlivé informace před ohrožením.

Závěrem lze říci, že směrnice NIS2 bude mít významný dopad na malé a střední společnosti v České republice, zejména na ty, které působí v klíčových odvětvích. Nová legislativa zavede rozsáhlé povinnosti a možné pokuty za jejich nedodržení, což vyžaduje pečlivou přípravu a dodržování nových opatření v oblasti kybernetické bezpečnosti.

Recources:

https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/689333/EPRS_BRI%282021%29689333_EN.pdf

https://www.medialaws.eu/rivista/the-new-nis-ii-directive-and-its-impact-on-small-and-medium-enterprises-smes-initial-considerations/

https://www.linkedin.com/pulse/how-smes-can-perform-cyber-risk-assessments-meet-nis2-adewole-tcgte

https://www.linkedin.com/pulse/new-nis2-directive-what-means-smes-cyen

https://www2.deloitte.com/cz/en/pages/risk/articles/nis2-directive-and-the-new-cybersecurity-act.html

https://rsm.cz/en/blog/security/new-stricter-eu-directive-on-cyber-security-and-its-impact-on-companies-operating-in-the-czech-republic/

https://danovky.cz/en/news/detail/1264

https://www.safetica.com/resources

https://www.frontier-economics.com/media/v3qetoxb/czechia-implications-of-cyber-security.pdf

 https://www2.deloitte.com/cz/en/pages/risk/articles/nis2-directive-and-the-new-cybersecurity-act.html

https://www.safetica.com/resources

https://www.elibrary.imf.org/view/journals/002/2023/135/article-A001-en.xml

https://www.onetrust.com/blog/building-a-gdpr-privacy-program-for-small-businesses/

https://startupsmagazine.co.uk/content/anna-wood

https://kpmg.com/cz/en/home/insights/2023/08/nis-2–who-will-be-affected-and-what-new-obligations-are-coming-.html

https://rsm.cz/en/blog/security/new-stricter-eu-directive-on-cyber-security-and-its-impact-on-companies-operating-in-the-czech-republic/

https://www2.deloitte.com/cz/en/pages/risk/articles/nis2-directive-and-the-new-cybersecurity-act.html

https://www.dlapiper.com/en/insights/publications/2023/08/new-czech-cybersecurity-regulation-what-you-need-to-know

https://kpmg.com/cz/en/home/insights/2023/08/nis-2–who-will-be-affected-and-what-new-obligations-are-coming-.html

https://ceelegalmatters.com/czech-republic/25545-czech-nis2-implementation-engage-a-diverse-group-of-professionals-not-just-it-guys