KYBEZ: Analýza rizik v kontextu NIS2

9.3.202320.3.2023 Redakce ISVS.CZ Bezpečnost, KYBEZ, NIS2

Co je NIS2 a koho se bude týkat?

K 10. listopadu 2022 Evropský parlament přijal finální znění směrnice NIS2. V současné chvíli Národní úřad pro kybernetickou bezpečnost dokončuje přípravy pro posunutí nově vytvořené legislativy ke schválení parlamentem. S tím se pojí otázka, jaký bude dopad této legislativy na současný legislativní model obsahující kybernetickou bezpečnost.

Směrnice se bude zaměřovat nejen na organizace, které již nyní podléhají nutnosti zajištění kybernetické bezpečnosti dle zákona o kybernetické bezpečnosti, ale povinnost dolehne také na mnoho organizací, které byly doposud z této povinnosti vyjmuty. Ačkoliv ještě není známa přesná forma implementace směrnice, lze vyjmout některá základní kritéria ze znění samotné směrnice a navržené legislativy vytvořené Národním úřadem pro kybernetickou bezpečnost.

V regulacích českého právního řádu již nyní nalezneme velké množství stanov, které směrnice NIS 2 vyžaduje. Aplikace NIS 2 by měla mimo jiné na základě článku 20 a 21 konkretizovat bezpečnostní opatření. Ta by se měla zabývat především přístupem zohledňující všechny druhy rizik pro informační systémy. Zamýšlená opatření se budou zaměřovat jak na rizika čistě v kybernetické rovině, tak na rizika vycházející z rizik fyzického prostředí. Do této oblasti spadá mimo řadu dalších opatření a také analýza rizik.

Současná odpovědnost k analýze rizik a její budoucnost v kontextu implementace NIS2

Zpozornět by měli především ti, kdož doposud nespadali do povinnosti zajišťovat analýzu rizik v rámci svých bezpečnostních opatření. Do prostoru regulace směrnice budou totiž nově spadat všechny organizace, které poskytují alespoň jednu službu uvedenou v přílohách směrnice NIS 2 a zároveň dosahují velikosti středního, nebo velkého podniku, a to i v rámci propojených podniků. Do vymezeného prostoru pak spadají také organizace s ročním obratem, nebo bilanční sumou roční rozvahy alespoň 10 milionů eur.

Pro analýzu rizik je pak důležité také to, že jakákoliv organizace, spadající do těchto mantinelů, bude povinna zajistit dlouhodobě udržitelnou formu analýzy rizik a to i za předpokladu, že je organizace považována za organizaci v režimu nižších povinností. Organizace budou mimo jiné povinny také aktivně identifikovat a posuzovat možná rizika produktů a služeb třetích stran. Obsah směrnice očekává také to, že organizace budou ochotny se kolektivně participovat na hodnocení rizik v rámci dodavatelských řetězců v daném odvětví.

Jak na implementaci směrnici reagovat?

Je možné, že právě vaše podnikání, nebo organizace spadá do rámců stanovených směrnicí a analýzu rizik jste doposud zajišťovat nemuseli, nevíte si s ní rady, nebo analýzu zajišťujete, nicméně složitě na papíře, nebo v tabulkových a textových editorech. Pokud je některý z uvedených případů ten váš, je ideální příležitost tento nedostatek vyřešit. K tomu vám mohou dopomoci různé online nástroje určené nejen pro analýzu rizik, ale také pro vyřešení dalších náležitostí, jež v budoucnu implementována směrnice bude vyžadovat.

Příkladem takového nástroje může být například CSA (Cyber Security Audit). Nejen že takové nástroje vám umožní splnit současné i budoucí povinné legislativní náležitosti obsažené v NIS2, ale zároveň celý proces zajišťování kybernetické bezpečnosti značně zjednoduší.

Zdroj: