NIS2

Směrnice NIS2 (Network and Information Security 2) představuje komplexní evropský rámec pro kybernetickou bezpečnost, zaměřující se na ochranu informačních systémů, počítačových sítí, aplikací, softwaru a dat. Jejím hlavním cílem je posílit odolnost organizací vůči kybernetickým hrozbám. Stanovuje povinná opatření, která mají zvýšit celkovou úroveň kybernetické bezpečnosti pro organizace působící v zemích Evropské unie. Tyto subjekty budou nuceny implementovat opatření týkající se procesů, školení zaměstnanců a zabezpečení svých systémů, sítí, IT infrastruktury a dat.

Povinnosti vyplývající ze směrnice NIS2 se vztahují na soukromé i veřejné subjekty.

Povinným subjektem je pak především společnost, která je  středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu či bilanční sumy roční rozvahy alespoň 10 milionů EUR, a zároveň poskytuje služby určené přílohami směrnice, tedy hlavně společnosti poskytující IT služby a digitální řešení, dopravní nebo finanční služby, vyrábějící elektroniku, stroje, potraviny, zdravotnické prostředky a automobily apod.

Mezi nejzásadnější povinnosti ukládané NIS2 patří:

• Zavedení vhodných opatření (technických, procesních, manažerských, organizačních).
• Identifikace kritických dat a procesů.
• Analýza a hodnocení rizik, včetně opatření pro řešení identifikovaných rizik.
• Kontrola oprávnění k softwaru, heslům a přístupům v rámci organizace.
• Zabezpečení IT infrastruktury, včetně prevence útoků a aktualizace softwaru.
• Zajištění bezpečnosti dat a informací (zálohování, šifrování, přístupová kontrola).
• Vzdělávání zaměstnanců v oblasti informační bezpečnosti.
• Rychlá reakce na bezpečnostní incidenty a jejich evidování.
• Plánování kontinuity provozu a obnovy po havárii.
• Zavedení směrnic týkajících se informační bezpečnosti (např. politika hesel, přidělování oprávnění).
• Pravidelné aktualizace, údržba a testování bezpečnostních opatření a postupů.