Evropská směrnice NIS2, nařízení DORA a nový zákon o kybernetické bezpečnosti

Kybernetická bezpečnost je v dnešní době jedním z klíčových témat. Kybernetická kriminalita je na vzestupu, přičemž je v současné době již často označována jako třetí největší ekonomika na světě (předpokládá se, že v roce 2025 budou škody způsobené kybernetickými útoky dosahovat až 10,5 bilionu USD, což je více než škody způsobené přírodními katastrofami za celý rok). Z tohoto důvodu je v současné době proti kybernetickým rizikům přibližně 50 % společností na českém trhu nepojistitelných. Doba jde velmi rychle dopředu a je tak třeba zachovat „digitální konkurenceschopnost“ evropského prostoru.

 

Na základě těchto skutečností Evropská unie přišla s novou směrnicí NIS2, která posiluje ochranu digitálního prostoru. Tato směrnice rozšiřuje a zpřísňuje pravidla pro organizace, které poskytují důležité služby – od zdravotnictví přes dopravu až po energetiku. Jejím cílem je zajistit, aby se evropské státy lépe bránily kybernetickým útokům a byly připraveny na možné hrozby.

 

Česká republika na tuto směrnici reaguje zbrusu novým zákonem o kybernetické bezpečnosti. Tento nový právní akt plně inkorporuje evropskou směrnici do českého právního řádu. Oproti dřívější úpravě se zákon nevztahuje jen na velké firmy a státní instituce, ale nově pokrývá i menší společnosti, které jsou pro chod státu důležité. Z nynějších přibližně 400 zasažených subjektů vzroste počet zasažených na 6.000 – 10.000 subjektů jen na území České republiky. Širší rozptyl zasažených entit je dán zejména povinností sebeurčení, za jejíž nedodržení jsou nastaveny velmi přísné sankce. Směrnice se navíc nedotkne pouze přímo zasažených firem, ale i jejich dodavatelsko-odběratelských řetězců.

 

Nová pravidla přinášejí několik zásadních změn. Organizace budou muset lépe chránit své sítě a data, hlásit kybernetické incidenty a pečlivěji prověřovat své dodavatele. Pokud by některá firma bezpečnostní opatření zanedbala, hrozí jí velmi vysoké sankce, a to v některých případech až 10 milionů EUR nebo 2 % z ročního obratu, v závislosti na tom, co je vyšší.

 

Zákon už prošel vládou a nyní se čeká na jeho finální schválení. Pokud vše půjde podle plánu, začne platit od léta 2025. Pro firmy to znamená, že by se na nové povinnosti měly připravit co nejdříve. Klíčem k úspěchu není jen zavedení technických opatření, ale také vyškolení zaměstnanců a nastavení jasných bezpečnostních pravidel.

 

Současně s výše uvedeným vzešlo z pera evropského zákonodárce i nařízení DORA, které směrnici NIS2 mírně modifikuje, doplňuje a je zaměřené přímo na finanční sektor (banky, pojišťovny, pojišťovací zprostředkovatelé, poskytovatelé cloudových služeb pro finanční instituce apod.).

 

Evropský akt DORA je již přímo nařízením, což znamená, že je přímo aplikovatelné ve všech členských státech (na rozdíl od směrnice NIS2, která musí být do vnitrostátního právního řádu inkorporovaná českým zákonem). Cílem nařízení DORA je zajistit odolnost finančních institucí vůči kybernetickým hrozbám, a to zejména tím, že stanovuje přísné požadavky na řízení rizik, testování odolnosti IT systémů a hlášení bezpečnostních incidentů.

 

Směrnice NIS2, nařízení DORA i nový zákon o kybernetické bezpečnosti jsou důležitým krokem k bezpečnějšímu digitálnímu prostředí. I když zavádějí přísnější pravidla, jejich hlavním cílem je ochrana firem, institucí i běžných občanů před stále častějšími kybernetickými útoky.

 

Chcete mít jistotu, že vás kybernetická rizika nepřekvapí? Kontaktujte nás, rádi vám pomůžeme se zhodnocením stávající úrovně Vašeho interního zabezpečení i s nastavením správného pojistného programu.