Aktuálně, Média

EURACTIV.cz – EU zpřísňuje nároky na kyberbezpečnost. Firmy se musí více chránit, mají obavy z náročných požadavků

Kyberútoky a zase kyberútoky. Hrozba s nimi spojená sílí a kybernetická pravidla rychle stárnou. EU nyní vymýšlí, jak zajistit, aby důležité instituce a firmy adekvátně investovaly do vlastní bezpečnosti. Jak totiž ukazuje dynamický vývoj v digitálním světě a také pohnutá mezinárodní situace, povinná ochrana největších elektráren či nemocnic zdaleka nestačí.

Nová legislativa rozšiřuje okruh subjektů, na které se budou vztahovat přísnější požadavky na zajištění kyberbezpečnosti. S roustoucím významem subjektů přitom porostou i evropské nároky, které zahrnují povinnost provádět analýzy rizik, hlásit a řešit incidenty, zabezpečovat své dodavatelské řetězce, šifrovat svou komunikaci a podobně.

Subjekty se budou dělit na dvě hlavní kategorie, základní a důležité. „Od prvně jmenovaných společností se budou vyžadovat přísnější kybernetická opatření a budou podléhat ex-ante kontrole ze strany NÚKIBu, zatímco druhá skupina bude kontrolována ex-post,“ upřesnil dopady legislativy europoslanec Evžen Tošenovský (ODS, ECR), který se otázce kybernetické bezpečnosti na půdě Evropského parlamentu dlouhodobě věnuje.

Dosud se ta nejpřísnější pravidla kyberbezpečnosti týkala převážně poskytovatelů kritických služeb. Jmenovitě to byly důležité firmy v oblasti energetiky, dopravy, bankovnictví, zdravotnictví či dodávek pitné vody. Navrhovaná legislativa však tento okruh dále rozšiřuje a specifikuje. Nejvyšší zabezpečení bude potřebovat například veřejná správa i na komunální úrovni, farmaceutické firmy, laboratoře, čističky odpadních vod či pozemní vesmírná infrastruktura. Zcela nově pak budou muset o trochu mírnější opatření přijmout také poštovní služby, chemičky, potravináři či výrobci počítačů a strojů, včetně například automobilek.

NIS2 se dotkne také subjektů, které působí v digitální oblasti. Dosud se striktní pravidla vztahovala na prvky digitální infrastruktury, výměnných internetových uzlů a poskytovatelů domén. V budoucnu zde budou zahrnuty také datová centra či služby elektronické komunikace. Mírnějšímu režimu pak budou podléhat internetové vyhledávače, on-line tržiště a sociální sítě. Zároveň by legislativa měla uplatňovat také kritérium velikosti dané společnosti. Pravidla by měly splňovat zejména firmy nad padesát zaměstnanců a s minimálním ročním obratem nad 10 milionů eur.

Závažnost, kterou nyní Unie kyberbezpečnosti přikládá, dokazuje i výše sankcí, které hrozí, pokud subjekty opatření nepřijmou nebo je nebudou dodržovat. Návrh hovoří o pokutě ve výši minimálně 10 milionů eur nebo dvou procent ročního obratu firmy. „Na první pohled se to může zdát moc, ale jde o sektory zásadní pro fungování společnosti a ekonomiky. V případě opakovaných velkých problémů, ignorování pokynů a podobně, musí být pokuta citelná. Předpokládám, že v rámci finální dohody bude strop pokut snížen pro zmíněné méně kritické, tzv. důležité subjekty,” řekl Tošenovský. Zároveň se spekuluje také o časovém rámci, který firmy budou mít na zavedení opatření. Podle europoslance počítá stávající návrh s tím, že členské státy budou mít rok a půl až dva na začlenění NIS2 do národních zákonů. Pak začne běžet dosud nespecifikovaný čas i firmám. „Výzva to bezpochyby bude i pro NÚKIB a podobné úřady a CSIRTy (skupiny pro reakci na počítačové bezpečnostní události, pozn. red) členských států. Bude pár let trvat, než si celý ekosystém sedne,” popsal europoslanec.

Autor: Vojtěch Freitag

Kompletní znění článku najdete zde: https://euractiv.cz/section/digitalni-agenda/news/eu-zprisnuje-naroky-na-kyberbezpecnost-firmy-se-musi-vice-chranit-maji-obavy-z-narocnych-pozadavku/