Jste připraveni na nis2?
Legislativní proces nového zákona o kybernetické bezpečnosti je před schválením. Transpoziční lhůta dle směrnice NIS2 požaduje účinnost nového zákona k 18. říjnu 2024. Proto je důležité, aby se poskytovatelé regulovaných služeb začali na změny připravovat již dnes, a měli tak jistotu, že budou schopni včas plnit nové požadavky.
co to vlastně znamená?
Poskytovatelé regulovaných služeb budou muset začít plnit celou řadu povinností – registrovat se u NÚKIB (do 16. ledna 2025), zavézt bezpečnostní opatření nebo začít hlásit kybernetické bezpečnostní incidenty na CERT. Jde o zásadní kroky proto, aby byla zajištěna vyšší úroveň kybernetické bezpečnosti a ochrany kritické infrastruktury.
Jaké kroky byste měli podniknout?
1.V prvé řadě bude potřeba ověřit, zda patříte mezi povinné subjekty: Doporučujeme již nyní udělat předběžnou analýzu toho, zda se vás zákon týká, a pokud ano, do jakého spadáte režimu.
2. Registrovat se u NÚKIB: A to, pokud se nic nezmění, nejpozději do 16. ledna 2025. Registraci po schválení zákona bude možné provést prostřednictvím Portálu NÚKIB. Tento krok je základním předpokladem, abyste mohli splnit další požadavky.
3. Stanovit rozsah řízení kybernetické bezpečnosti: Bude důležité definovat, které části vaší společnosti budou podléhat regulaci, protože pokud tak neučiníte, měla by podle dosavadního znění zákona podléhat regulaci celá společnost.
4. Zavést bezpečnostních opatření: Do 1 roku od registrace byste měli implementovat příslušná technická a organizační opatření, a to v závislosti na tom, zda vaše služba náleží do vyššího či nižšího režimu.
5. Hlásit kybernetické bezpečnostní incidenty: Povinnost hlásit incidenty začíná rovněž do 1 roku od registrace. Prvotní hlášení incidentu je nutné provést bez zbytečného odkladu, nejpozději však do 24 hodin od zjištění.
6.Povinnost jmenování Manažera kybernetické bezpečnosti: Tato povinnost je rovněž předpokládána. Podstatné u této funkce budou dostatečné zkušenosti v oblasti kybernetické bezpečnosti a splnění kvalifikačních předpokladů.
7.Srovnávací analýza k NIS2: Doporučujeme provést srovnávací analýzu, tedy porovnat současný stav kybernetické bezpečnosti a organizačních opatření vaší společnosti oproti tomu, jaké požadavky klade NIS2.
Závěr
Nový zákon je zásadní k posílení kybernetické odolnosti a ochrany důležitých služeb v České republice. Jeho cílem je zajistit, aby byly společnosti lépe připraveny na detekci, reakci a zotavení z kybernetických incidentů. Upozorňujeme také, že lze očekávat nedostatečný počet Manažerů kybernetické bezpečnosti s potřebnými zkušenostmi, i z tohoto pohledu je potřeba začít s přípravami již nyní. Nejde tedy jen o formalitu, ale o zásadní investici do bezpečnosti vaší společnosti a ochrany vašich zákazníků. Pokud chcete být na nový zákon připraveni, začněte podnikat patřičné kroky raději hned.
Chcete-li vědět více o povinnostech souvisejících s NIS2, obraťte se nás a využijte nabídky na naše školení s názvem: „Zabezpečte své IT prostředí od A do Z“.