směrnice NIS-2

Směrnice NIS 2 je směrnice EU, jejímž cílem je zaručit vysokou společnou úroveň kybernetické bezpečnosti v průmyslu Evropské unie. Nahrazuje původní směrnici NIS z roku 2016 a zpřísňuje požadavky na bezpečnost, zabývá se bezpečností dodavatelských řetězců a zavádí harmonizované sankce. Směrnici NIS 2 přijal koncem roku 2022 Evropský parlament a Rada EU a v zemích Evropské unie je platná od 18. 10. 2024. Členské státy musí směrnici implementovat do své národní legislativy.

Požadavky NIS 2 cílí v první řadě na výrobní podniky:

Zatímco směrnice NIS 1 platila převážně pro kritické infrastruktury a poskytovatele příslušných digitálních služeb, zahrnuje směrnice NIS 2 kromě jiného také výrobní sektor: strojírenství, výrobce zařízení pro zpracování dat, elektronických a optických výrobků, elektrické výbavy, motorových vozidel a jejich částí a ostatní automobilový průmysl. Požadavky směrnice se v těchto oborech týkají podniků s více než 50 zaměstnanci nebo ročním obratem, příp. roční bilancí více než 10 mil. eur.

Pro dosažení shody s NIS 2 musí dotčené firmy přijmout četná opatření, kromě jiného:

• Řízení rizik: Implementace procesů pro identifikaci a posouzení rizik.
• Bezpečnostní opatření: Zavedení technických a organizačních opatření pro snížení rizik.
• Hlášení událostí: Zavedení postupu pro hlášení událostí souvisejících s bezpečností příslušným úřadům.
• Sledování a audity: Pravidelná kontrola a vyhodnocování bezpečnostních opatření.

Implementace NIS 2 je v jednotlivých členských státech EU úkolem úřadů, které jsou odpovědné za kontrolu a dodržování směrnice. V Německu je takovou institucí Spolkový úřad pro bezpečnost a informační techniku (BSI).

Opatření pro plnění:

1. Ohlašovací povinnost: Podniky musí hlásit události týkající se bezpečnosti. NIS 2 zavádí třístupňový ohlašovací systém, který má zlepšit transparentnost a zvýšit reakceschopnost.
2. Dozorová opatření: Spolkový úřad pro bezpečnost a informační techniku (BSI) disponuje rozšířenými pravomocemi pro provádění auditů a inspekcí, aby mohl kontrolovat dodržování bezpečnostních požadavků.
3. Sankce: Důsledkem nedodržení směrnice mohou být sankce, které závisí na závažnosti přestupku.

Podpora a poradenství:
BSI nabízí dotčeným podnikům podporu a konzultace, které jim mají usnadnit plnění požadavků NIS 2. Firmy by se při přijímání opatření pro zlepšení IT bezpečnosti měly chovat proaktivně a připravit se včas na nové požadavky. Agentura Evropské unie pro kybernetickou bezpečnosti (ENISA) nabízí k tématu kybernetické bezpečnosti v průmyslu celou řadu užitečných informací.

NIS 2, Cyber Resilience Act a nařízení o strojních zařízeních jsou součástí rozsáhlého regulačního rámcového programu EU pro posílení kybernetické bezpečnosti a odolnosti. NIS 2 se zaměřuje na bezpečnost sítí, informačních systémů a na požadavky na úrovni podniků, cílem Cyber Resilience Act je zlepšit kybernetickou bezpečnost produktů obsahujících digitální prvky. Opatření těchto dvou dokumentů doplňuje nařízení o bezpečnosti strojních zařízení, které stanovuje bezpečnostní požadavky na strojní zařízení a průmyslové produkty.

• Další požadavky na kybernetickou bezpečnost v průmyslu (mj. IEC 62443)
• Agentura Evropské unie pro kybernetickou bezpečnost (ENISA)