Členské země Evropské unie dokončily schvalování normy upravující požadavky ohledně úrovně kybernetické bezpečnosti ve firmách a ve státní správě. Směrnice rozšiřuje povinnosti na nové sektory včetně energetiky nebo zdravotnictví a má za cíl také zlepšit spolupráci příslušných národních orgánů. Na uvedení nových pravidel do praxe mají státy a zasažené podniky necelé dva roky.

Opatření se zkratkou NIS2 nahrazuje šest let starou směrnici o bezpečnosti sítí a informačních systémů. Na jeho konečné podobě se Rada EU s vyjednavači Evropského parlamentu dohodla v květnu, europoslanci pak tuto dohodu potvrdili v první polovině listopadu. Souhlas unijních ministrů byl posledním krokem v přijímání normy.

Směrnice zavádí povinnost mapovat kybernetické hrozby a hlásit potíže pro firmy v mnoha sektorech. Nově se bezpečnostní požadavky vztahují na energetiku, dopravu, zdravotnictví, banky či poskytovatele poštovních a kurýrních služeb. Společnosti se musí aktualizovaným pravidlům přizpůsobit do 21 měsíců po jejich vstupu v platnost, který by měl nastat příští měsíc.

Podle českého Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) se budou unijní pravidla od roku 2024 dotýkat zhruba 6000 českých firem, což by znamenalo více než desetinásobek oproti současnému stavu. Nová směrnice se vztahuje na všechny velké a středně velké společnosti působící ve vybraných odvětvích nebo poskytující daný typ služeb. Pod její působnost nespadají obrana ani veřejná bezpečnost, stejně jako centrální banky, soudy a parlamenty.

NIS2 nicméně vytváří povinnosti i pro orgány veřejné správy na národní a regionální úrovni. Kromě sjednocení pravidel a postihů napříč EU je cílem také posílit spolupráci mezi členskými zeměmi, mimo jiné zřízením koordinační skupiny pod hlavičkou Agentury EU pro kybernetickou bezpečnost (ENISA).

TZ

Foto: Shutterstock