Průvodce směrnicí NIS2

NIS2 je nová směrnice Evropské unie, která má za cíl posílit kybernetickou bezpečnost organizací poskytujících klíčové služby pro společnost. Zavádí nové povinnosti v oblasti ochrany systémů, hlášení incidentů a řízení rizik, přičemž se zaměřuje na širší spektrum odvětví a podporuje spolupráci mezi státy EU.

Požadavky NIS2 se promítnou do české legislativy prostřednictvím nového zákona o kybernetické bezpečnosti.

Požadavky směrnice NIS2 na organizace

  • Zabezpečení systémů a prevence – organizace musí zavést opatření k ochraně svých systémů před kybernetickými útoky, a to napříč novými sektory, jako je zdravotnictví, ICT či vodohospodářství.

  • Hlášení incidentů – organizace musí hlásit kybernetické incidenty do 24 hodin a ve vybraných případech poskytnout zprávu o přijatých opatřeních a dopadech.

  • Řízení rizik – organizace musí řídit rizika nejen ve vlastních systémech, ale i u svých dodavatelů a partnerů, aby zajistily, že splňují bezpečnostní standardy.

  • Větší odpovědnost vedení – vrcholové vedení je odpovědné za zavedení bezpečnostních opatření a dohled nad kybernetickou bezpečností v organizaci.

  • Silnější sankce – nedodržení pravidel může vést k pokutám nebo jiným sankcím, což vyžaduje pravidelné audity a kontroly.

  • Spolupráce a sdílení informací – organizace musí sdílet informace o hrozbách a spolupracovat s národními i evropskými úřady, což vyžaduje efektivní komunikační a koordinační mechanismy.

  • Harmonizace pravidel – organizace musí dodržovat jednotné bezpečnostní standardy napříč EU, což může znamenat úpravu interních procesů.

Na koho NIS2 dopadá

Směrnice NIS stanovila kybernetická bezpečnostní pravidla pro klíčová odvětví, jako je energetika, doprava či finance. NIS2 rozšiřuje regulaci na další sektory, aby posílila jejich odolnost vůči kybernetickým hrozbám.

Zároveň rozděluje služby na essential (základní) a important (významné), což se v českém právním řádu projeví jako vyšší a nižší režim povinností. Rozdíl mezi nimi spočívá například v rozsahu bezpečnostních opatření, úrovni dohledu a pravidlech hlášení incidentů. 

Rozšíření regulovaných odvětví dle NIS2

Nis srovnaniPřehled regulovaných odvětví dle nového zákona o kybernetické bezpečnosti najdete v rychlém přehledu Koho se týká nový zákon o kybernetické bezpečnosti.

Odvětví regulovaná směrnicí NIS2 se v českém právním řádu mírně liší, protože při jejím zavedení do národní legislativy dochází k úpravám odpovídajícím specifikům českého prostředí. Některé sektory mohou být vymezeny odlišně nebo doplněny o další oblasti, aby regulace lépe odpovídala místním potřebám a legislativním požadavkům. 

Proč EU vydala novou směrnici

Evropská unie zavedla novou směrnici NIS2, aby posílila kybernetickou bezpečnost států EU kvůli rostoucímu počtu závažných kybernetických hrozeb. Původní směrnice NIS už neodrážela aktuální technologickou a bezpečnostní situaci, a proto NIS2 přináší:

  • Rozšíření okruhu povinných subjektů – zahrnuje více odvětví a organizací, které jsou klíčové pro fungování společnosti a ekonomiky.

  • Zvýšení standardů bezpečnosti – zavádí přísnější pravidla pro ochranu sítí a informačních systémů.

  • Zlepšení koordinace mezi státy EU – posiluje spolupráci při řešení kybernetických incidentů a zajišťuje jednotný přístup k regulaci napříč Unií.

Cílem NIS2 je posílit odolnost evropské infrastruktury, chránit občany i organizace a minimalizovat dopady kybernetických útoků na společnost a ekonomiku.

Jak se na NIS2 připravit?
Požadavky NIS2 se promítnou do české legislativy prostřednictvím nového zákona o kybernetické bezpečnosti pravděpodobně ve druhé polovině roku 2025. Zjistěte, zdali se bude nový zákon týkat i vaší organizace a začněte se připravovat již nyní.
 
Licenční politika vzhledem k NIS2

NIS2 směrnice samotná přímo neovlivňuje licenční modely nebo ceny licencí Microsoftu. Místo toho se zaměřuje na to, jak organizace využívají a zabezpečují své produkty a služby Microsoftu tak, aby dosáhly souladu s NIS2.

Zde je shrnutí dopadu NIS2 na používání technologií Microsoftu:

  1. Zvýšené požadavky na kybernetickou bezpečnost: NIS2 vyžaduje od organizací zavedení robustních opatření pro řízení kybernetických rizik, hlášení incidentů, zajištění kontinuity provozu a posílení bezpečnosti v dodavatelském řetězci. Tyto požadavky se netýkají přímo licencí, ale spíše způsobu, jakým jsou IT systémy (včetně těch postavených na Microsoft technologiích) spravovány a chráněny.

  2. Microsoft jako nástroj pro compliance: Microsoft nabízí širokou škálu bezpečnostních řešení a služeb, které mohou organizacím pomoci splnit požadavky NIS2. Mezi ně patří například:

    • Microsoft Defender XDR: Pro ochranu koncových bodů, identit, e-mailů a cloudových aplikací.
    • Microsoft Sentinel: Řešení SIEM (Security Information and Event Management) pro sběr dat, analýzu hrozeb a automatizovanou reakci.
    • Microsoft Purview Compliance Manager: Nástroj pro správu dodržování předpisů, který poskytuje přehled o shodě s NIS2 a navrhuje opatření.
    • Microsoft Entra ID (dříve Azure AD): Pro správu identit a přístupu, včetně vícefaktorové autentizace (MFA) a podmínek podmíněného přístupu, které jsou klíčové pro NIS2.
    • Microsoft Defender for Cloud: Pro monitorování hrozeb a zabezpečení cloudových zdrojů v Azure.

  3. Potřeba vyšších licencí nebo doplňkových služeb: I když základní licence Microsoft 365 nebo Azure mohou obsahovat některé bezpečnostní prvky, pro splnění komplexních požadavků NIS2 je často nutné využít vyšší edice licencí (např. Microsoft 365 E5) nebo zakoupit doplňkové bezpečnostní služby a řešení, která poskytují pokročilejší funkce a nástroje pro compliance.

  4. Konec podpory starších produktů: Konec životnosti (End-of-Life) některých starších produktů Microsoftu (např. Windows 10, Office 2016/2019) není přímým dopadem NIS2, ale je s ní úzce spojen. Používání softwaru bez bezpečnostních aktualizací zvyšuje kybernetické riziko a může vést k nesouladu s NIS2. Organizace tak budou muset investovat do upgradů na novější verze, což může vést k novým licenčním nákladům.

  5. Bezpečnost dodavatelského řetězce: NIS2 klade velký důraz na bezpečnost dodavatelského řetězce. To znamená, že organizace musí zajistit, aby i jejich dodavatelé (včetně cloudových poskytovatelů jako Microsoft) splňovali odpovídající bezpečnostní standardy. Microsoft aktivně pracuje na zajištění shody svých cloudových služeb s NIS2, což zákazníkům pomáhá plnit jejich vlastní povinnosti v této oblasti.

Závěr: NIS2 tedy neimplikuje nové typy licencí od Microsoftu, ale spíše vyžaduje, aby organizace strategicky využívaly a konfigurovaly své stávající nebo nově pořízené Microsoft produkty a služby tak, aby dosáhly požadované úrovně kybernetické bezpečnosti a byly v souladu se směrnicí. Je důležité provést důkladnou analýzu stávajícího stavu a identifikovat, které nástroje a konfigurace jsou pro splnění NIS2 potřeba.

Další článek