NIS2 a povinnosti veřejné správy
O evropské směrnici NIS2 jsme již na našem webu psali. Nicméně malá rekapitulace nikomu neuškodí a vlastně příjde docela vhod. NIS2 je zakládající směrnicí evropského kybernetického standardu. Aplikace směrnice vejde v platnost v českém právním řádu příští rok, s čímž samozřejmě příjde několik novinek v podobě povinností pro různorodé subjekty. Jedním z těchto subjektů je také veřejná správa a služby, které mohou nepřímo pod činnost veřejné správy spadat. Pojďme se tedy podívat na to, co NIS2 znamená pro subjekt veřejné správy, jaké pro ni ze směrnice vyplývají povinnosti a především, jak můžeme s veškerými postupy spojenými s NIS2 pomoci my.
Povinnosti veřejné správy
Nová zákonná úprava vytvořená na základě směrnice bude mít vliv na veškeré části veřejné správy. Zatímco menší firmy a podniky jsou od povinností osvobozeny, pro subjekt veřejné správy existuje pramálo výjimek. Jedinou z nich je například vyjmutí povinností pro subjekty veřejné správy činné v oblasti národní bezpečnosti, veřejné bezpečnosti, obrany nebo vymáhání práva, včetně prevence, vyšetřování, odhalování a stíhání trestných činů. Všechny ostatní subjekty jsou však povinny náležitosti uvedené ve směrnici plnit. To platí především jmenovitě pro centrální státní správu. Vyjmuty však nejsou ani úřadů s celostátní působností a povinnosti budou doléhat také na samosprávy měst a obcí. Při aplikaci procesů budou muset veškeré subjekty státní správy brát v potaz jejich důležitost a rizikovost a především budou povinny aktivně reagovat na případné hrozby a požadavky stanovené ve finální právní úpravě.
V potaz bude nutné brát to, do kterého režimu veřejná správa spadá. Ta je totiž jako celek uvedena v příloze jedna, v níž jsou subjekty označovány jako “essentials”. V českém prostředí se pak můžeme setkat s možná lehce nešťastným překladem “základní” subjekty. Jedná se však o stejnou skupinu subjektů. Díky tomuto zařazení bude veřejná správa jako taková spadat do režimu vyšších povinností. Co to však přesně znamená?
Obecně vzato jsou povinnosti plnění náležitostí uvedených v zákoně pro veškeré subjekty stejné. Nicméně rozdíl přichází v otázce kontroly jejich plnění. Zatímco subjekty “základní”, do nichž jak už víme spadá také veřejná správa, budou podléhat komplexnímu režimu dohledu ex ante (před událostí) a ex post (po události), subjekty v režimu nižších povinností, nebo také “důležité” subjekty (v originálním znění “important”), by měly podléhat mírnému režimu dohledu pouze ex post (po události). Do této skupiny pak spadají například poštovní služby, potravinářství a další méně důležité subjekty, které však mohou mít s veřejnou správou přímou souvislost.
Ze znění směrnice lze vyvodit tři základní okruhy, v nichž všechny subjekty, včetně veřejné správy, musí zajistit svoji ochranu. Tyto okruhy včetně jejich detailnějšího popisu jsou uvedeny níže:
Technická opatření
-
- Zabezpečení sítí, aplikací, systémů a softwaru
- Zajištěn síťové bezpečnosti a IT infrastruktury na fyzické i digitální úrovni
- Detekce a vyhodnocování a aktivní řešení kybernetických hrozeb
- Ochrana dat skrze zálohování, autentizaci, šifrování a podobně
- Zvýšení odolnosti informačních systémů proti napadení, selhání, případně výpadku
Management, organizace a řídící procesy
-
- Analýza rizik a bezpečnosti informačních systémů
- Řízení kontinuity provozu (zálohování, obnova, krizové řízení,…)
- Zabezpečení dodavatelských řetězců a pořizování, vývoje a údržby sítí a informačních systémů
- Vytvoření politik a postupů určených k posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik
- Bezpečnost lidských zdrojů (postupy kontroly přístupu a správa aktiv)
Dokumentace, vzdělávání a hlášení
-
- Tvorba bezpečností dokumentace
- Vzdělávání v oblasti kybernetické hygieny a kybernetické bezpečnosti
- Zajištění dokumentace z níž plyne plnění požadavků
- Oznamovací povinnost významných incidentů
Jak se může veřejná správa připravit na příchod NIS2?
Povinností vycházejících ze směrnice je více než dost. Může tak být poměrně náročné se v nich zorientovat a především koordinovat veškeré postupy. Existuje však množství způsobů, jak si celý přechod na nový standard usnadnit. Velkou pomocí mohou být softwarová řešení, která umožní bezproblémové komplexní řízení kybernetické bezpečnosti organizací. Příkladem takového softwaru je CSA (Cyber Security Audit). Aplikace vám poskytne přehledné informace o vašich aktivech a pomůže s identifikací hrozeb a rizik. Šikovným pomocníkem je však například také při auditu kybernetické bezpečnosti a dalších procesech vyžadovaných směrnicí NIS2.
Organizacím veřejné správy bezpochyby mohou pomoci také různá školení. Firma GORDIC taková školení společně s podporou zajištění kybernetické bezpečnosti organizací nabízí. Nenechávejte tak ležet kybernetickou bezpečnost vaší organizace ladem. Možností je mnoho. Vyberte si tak služby, které vám vyhovují nejvíce, a v klidu a pohodlí se připravte na nový bezpečnostní standard na roky dopředu.
Jednoduchý nástroj pro naplnění složitých požadavků