Směrnice NIS2 — co potřebují pověřenci vědět

NIS2 se vztahuje na dvě kategorie subjektů: základní subjekty a důležité subjekty. Základní subjekty zahrnují odvětví jako energetiku, dopravu, bankovnictví, infrastrukturu finančních trhů, zdravotnictví, pitnou vodu, odpadní vody, digitální infrastrukturu, správu ICT služeb a veřejnou správu. Důležité subjekty pokrývají odvětví jako poštovní služby, odpadové hospodářství, výrobu, potravinářství, chemický průmysl a poskytovatele digitálních služeb. Limity velikosti jsou jednoduché: organizace s 50+ zaměstnanci nebo ročním obratem 10+ milionů EUR v těchto odvětvích jsou automaticky v rozsahu působnosti. Některé subjekty jsou však v rozsahu působnosti bez ohledu na velikost — například poskytovatelé DNS služeb, registry TLD a poskytovatelé veřejných elektronických komunikačních sítí. Pro pověřence to znamená, že mnozí vaši stávající klienti mohou mít nyní povinnosti podle NIS2 nad rámec svých požadavků GDPR. Proaktivní identifikace, kteří klienti spadají pod NIS2, vás pozicuje jako cenného strategického poradce, nejen jako formalitu pro splnění compliance.

NIS2 vyžaduje, aby dotčené organizace zavedly komplexní soubor opatření řízení kybernetických rizik. Patří sem: analýza rizik a politiky bezpečnosti informačních systémů, postupy zvládání incidentů, kontinuita podnikání a krizový management, bezpečnost dodavatelského řetězce, bezpečnost při pořizování a vývoji síťových a informačních systémů, politiky hodnocení účinnosti opatření kybernetické bezpečnosti, základní postupy kybernetické hygieny a školení, politiky šifrování, bezpečnost lidských zdrojů, řízení přístupu a správa aktiv. Organizace musí také hlásit významné incidenty svému národnímu úřadu do 24 hodin pro včasné varování, do 72 hodin pro úplné oznámení a do jednoho měsíce pro závěrečnou zprávu. Tato třístupňová povinnost hlášení je přísnější než 72hodinové oznámení porušení podle GDPR a vyžaduje dobře připravené postupy reakce na incidenty. Překryv mezi bezpečnostními opatřeními NIS2 a článkem 32 GDPR (zabezpečení zpracování) je značný. Pověřenci, kteří již klientům radí ohledně technických a organizačních opatření podle GDPR, jsou dobře připraveni rozšířit tuto radu na soulad s NIS2.

Nejvýznamnější změnou, kterou NIS2 přináší, je osobní odpovědnost vedení. Článek 20 vyžaduje, aby řídicí orgány schvalovaly a dohlížely na implementaci opatření kybernetické bezpečnosti. Musí také absolvovat školení kybernetické bezpečnosti. Co je důležité — řídicí orgány mohou být osobně odpovědné za porušení. Pokuty podle NIS2 jsou značné: až 10 milionů EUR nebo 2 % celosvětového ročního obratu pro základní subjekty a až 7 milionů EUR nebo 1,4 % celosvětového obratu pro důležité subjekty. Tyto pokuty jsou navíc k pokutám podle GDPR — nenahrazují je. Tento aspekt osobní odpovědnosti je tím, co vyvolává naléhavost u vedení. Jako pověřenec můžete tento argument využít k zajištění rozpočtu a pozornosti pro compliance projekty, které by jinak mohly být deprioritizovány. Členové vedení, kteří dříve vnímali GDPR jako nákladovou položku, se náhle velmi zajímají o compliance, když jsou v sázce jejich osobní aktiva.

Jako externí pověřenec již máte hlubokou znalost zpracovatelského prostředí svých klientů, bezpečnostních opatření a organizační struktury. To z vás dělá přirozeného poradce pro soulad s NIS2 — nemusíte začínat od nuly. Začněte mapováním překryvu mezi požadavky GDPR a NIS2. Mnohá technická a organizační opatření, která vaši klienti již mají pro GDPR (šifrování, řízení přístupu, postupy reakce na incidenty), přímo splňují požadavky NIS2. Zdokumentujte tento překryv, abyste klientům ukázali, že nezačínají od nuly. Nabídněte hodnocení připravenosti na NIS2 jako doplňkovou službu. Strukturovaný kontrolní seznam pokrývající všechny povinnosti NIS2, mapovaný oproti tomu, co klient již má zavedeno, přináší okamžitou hodnotu a pozicuje vás pro průběžné monitorování souladu. Používejte nástroj, který podporuje GDPR i NIS2 v jednotném dashboardu. Udržování oddělených systémů pro soulad s GDPR a připravenost na NIS2 zdvojuje vaši práci a ztěžuje identifikaci synergií. Trustee.eu kombinuje obojí v jednom zobrazení, takže můžete radit holisticky.