S příchodem směrnice NIS2, která vstoupila v platnost v říjnu 2024, se organizace v celé EU musí přizpůsobit novým požadavkům na kybernetickou bezpečnost. Do české legislativy je tato směrnice transponována v podobě nového Zákona o kybernetické bezpečnosti, který je aktuálně v legislativním procesu. Tato směrnice zavádí povinnosti nejen pro samotné instituce, ale nově i povinnosti v rámci řešení dodavatelských řetězců. To především znamená vyšší nároky na zabezpečení i na partnerské vztahy. V České republice se předpokládá, že tato nová legislativa přímo či nepřímo ovlivní kolem 6 000 subjektů. Toto číslo zahrnuje nejen organizace v kritické infrastruktuře, komerční firmy, ale také veřejné subjekty, které spravují citlivá data a služby.Nová legislativa předpokládá, že organizace budou nejen monitorovat a vyhodnocovat vlastní rizika, ale budou se také soustředit na zabezpečení svých dodavatelů.
„Bezpečnost dodavatelského řetězce je klíčová, protože jakýkoli slabý článek může znamenat ohrožení celé sítě a výrazné finanční i reputační ztráty.“
Zavádí se také povinnost zavést systém řízení kybernetické bezpečnosti s možností uložit pokutu až do výše 10 milionů eur, což zdůrazňuje vážnost těchto opatření. Nedodržení může vést k postihům, které v případě českých organizací dosahují až 250 milionů Kč, čímž se z kybernetické bezpečnosti stává priorita pro management všech dotčených subjektů. Management těchto podniků nese přímou odpovědnost za nastavení a dodržování pravidel.
Řízení kybernetických rizik pro veřejnou správu
Veřejná správa čelí nejen kybernetickým útokům zaměřeným na její vlastní data a systémy, ale musí se zaměřit i na kontrolu dodavatelského řetězce, který často zahrnuje další technologie a systémy třetích stran. Asseco Solutions proto nabízí specializované Poradenství v oblasti kybernetické bezpečnosti pro kraje a obce, které pomáhá veřejným subjektům splnit požadavky NIS2 a zajistit ochranu proti stále sofistikovanějším kybernetickým hrozbám. Tato služba zahrnuje komplexní přístup propojující právní a IT poradenství s technickými opatřeními pro efektivní ochranu a prevenci.
Klíčová opatření pro zvýšení kybernetické odolnosti
Aby byly veřejné organizace připraveny na plnění požadavků směrnice NIS2, Asseco Solutions poskytuje službu zaměřenou na analýzu smluv s dodavateli. Tato služba zahrnuje identifikaci a doplnění povinných bezpečnostních prvků do smluvních ustanovení o kybernetické bezpečnosti a doporučuje opatření pro minimalizaci rizik. Součástí této podpory je také provedení IT bezpečnostního auditu, který posuzuje a zlepšuje bezpečnostní opatření u dodavatelů. Technická podpora zahrnuje implementaci opatření, jako je správa identit, šifrování a bezpečnostní monitoring, čímž organizacím pomáhá zajistit vyšší úroveň kybernetické bezpečnosti.
V neposlední řadě pomáháme aktualizovat bezpečnostní dokumentaci v souladu s legislativou, což zahrnuje i odborné školení zaměstnanců zaměřené na rozpoznání a prevenci kybernetických hrozeb a zvýšení povědomí o řízení dodavatelů. Tento přístup snižuje nejen rizika kybernetických incidentů, ale i potenciální náklady spojené s jejich řešením a prevencí sankcí za nesplnění právních povinností.
Připravenost na nová kybernetická rizika a požadavky směrnice NIS2 je zásadní pro všechny veřejné organizace. Díky spojení právního a technického poradenství může veřejná správa efektivně čelit novým výzvám v oblasti kybernetické bezpečnosti a dodržovat požadavky NIS2. Tímto přístupem nejen předcházíme rizikům, ale také zajišťujeme, že organizace může fungovat bez přerušení a s vyšší mírou zabezpečení.*
Luboš Římal Vedoucí vývoje a specialista pro oblast bezpečnosti produktů Asseco Solutions
