Tímto úvodním článkem a několika pokračujícími dáváme k dispozici současné informace o tom co máme a co se na nás chystá v oblasti legislativy a IT bezpečnosti.
V aktuální době máme v platnosti evropskou směrnici NIS a její implementaci do českého prostředí v podobě Zákona o kybernetické bezpečnosti.
Prozatím platí pro firmy a společnosti označené za kritickou infrastrukturu státu.
Čeští zákonodárci v tomto případě udělali to nejlepší možné a zjednodušili normu ISO 27001 do zákona a její podnormu 27005 do prováděcích vyhlášek.
Jde tedy o to zavést ve firmách a společnostech integrovaný systém managementu pro IT bezpečnost
Zní to sice velmi děsivě, ale celé se to dá vzít i jako obrovská příležitost podívat se na bezpečnost strukturovaným pohledem odborníků a nechat si poradit jak se it bezpečnost má dělat a nebo spadnout do mylného tvrzení compliance = security .
Pro IT odborníky je to příležitostí vtáhnout do dění okolo IT i lidi z exekutivy, protože bez nich to nejde a je nutné propojit byznysový a IT pohled na bezpečnost do funkčního celku. Zároveň je ale nutné exekutivám ve firmách trpělivě vysvětlovat, že není jeden IT odborník, jako není jeden lékař a bez odborných specialistů z odpovídajících oborů neuděláte bezpečné prostředí.
V aktuální době probíhá schvalování definitivní podoby směrnice NIS2 , která významně rozšiřuje okruh povinných, její implementace do zákona proběhne do konce roku 2023 a následně bude probíhat roční období pro firmy na implementaci povinností vyplývajících.
Směrnice NIS 2 dělí organizace do dvou samostatných košů. Subjekty zásadního významu a subjekty důležité.
Kromě očekávaných oborů (energetika, nemocnice atd.) jsou zde i obory zcela nové, především potravinářství či chemický průmysl.
Základním kritériem pro zařazení firmy pod NIS 2 je tedy její obor, dále roční obrat a počet zaměstnanců (NIS 2 se vztahuje pouze na organizace střední a velké velikosti).
Směrnice NIS 2 bude povinná a bude se týkat jen v ČR tisíců nových subjektů. Přitom maximální pokuta za její nedodržení bude 10 000 000 EUR, nebo 2 % z celkového celosvětového ročního obratu společnosti.
Přehled oborů spadajících pod NIS 2:
• energetika (elektřina, dálkové vytápění a chlazení, ropa, plyn a vodík)
• doprava (letecká, železniční, vodní a silniční)
• bankovnictví a infrastruktury finančních trhů
• zdravotnictví a výroba farmaceutických a zdravotnických prostředků
• pitná voda a odpadní vody
• digitální infrastruktura, výměnné uzly internetu, poskytovatelé služeb DNS, registry internetových domén nejvyšší úrovně (TLD)
• poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center, sítě pro doručování obsahu
• poskytovatelé služeb vytvářejících důvěru a veřejné sítě elektronických komunikací a služby elektronických komunikací
• veřejná správa
• vesmír
• poštovní a kurýrní služby
• nakládání s odpady, chemické látky
• potraviny
• výroba jiných zdravotnických prostředků, počítačů a elektroniky, strojního zařízení a motorových vozidel
• digitální poskytovatelé (internetová tržiště, internetové vyhledávače a platformy služeb sociálních sítí)
Pod NIS 2 tedy bude spadat většina komerčních subjektů!
Příště budeme pokračovat s povinnostmi organizace, která bude předpis implementovat do svého chodu