Jaké jsou nové povinnosti pro malé a střední firmy dle NIS2?

Koho se toto nařízení týká?

• Firem, které zaměstnávají nejméně 50 zaměstnanců, nebo dosahují ročního obratu či bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK).  

• Firem, které poskytují alespoň jednu službu uvedenou v přílohách směrnice. Nově je v seznamu činností zařazena například také oblast výroby, výzkumu a poskytování digitálních služeb.  

Pokud Vaše firma spadá do obou kritérií, je načase kyberbezpečnost začít řešit. Nebojte, cílem nařízení není omezovat, ale pouze doporučit těm, kteří by měli v případě kyberútoku co ztratit.  

Jaké řešení nová směrnice vyžaduje?

NIS2 žádným způsobem neříká, jaké technické řešení je potřeba použít. Ačkoliv stanoví povinnost problémům předcházet a řešit IT bezpečnost, tak maximálně doporučuje, na jaké prostředky se zaměřit. Pokud firma využívá centralizovaný IT systém, logicky použije jiné metody zabezpečení než firma, která adoptovala třeba principy Zero Trust.  

Z technických opatření lze obecně doporučit:  

• firewally (zejména perimetrové),  

• antiviry (zejména sofistikovanější EDR), 

• zálohovací řešení. 

Společně s prováděním pravidelných aktualizací se jedná o věci, které by měly být dávno běžnou praxí každé firmy.  

Nečekejte, začněte řešit už nyní

Informační a komunikační povinnosti budou vyžadovány již od 16. 10. 2024. Navíc, nasazení opatření za 77 dní se následně reálně povede jen připraveným. NÚKIB (Národní úřad pro kybernetickou bezpečnost) vydal doporučení firmám, které do této chvíle kyberbezpečnost neřešily, jakými kroky by měly začít: 

• zmapování aktuálního stavu organizace (tzn. audit aktuálního stavu kybernetické bezpečnosti a potenciálních slabých míst),  

• vypracování tzv. business impact analýzy (týká se především dopadů narušení řádného fungování jednotlivých systémů na Vaši firmu – tzn. nedostupnost používaných informačních systémů, narušení důvěrnosti nebo integrity shromažďovaných dat), 

• školení relevantních osob v organizaci (týká se všech uživatelů, odborníků, kteří budou kybernetickou bezpečnost ve firmě řešit i vrcholového managementu, který si musí být vědom důležitosti řízení kybernetické bezpečnosti ve firmě).  

S jakými náklady je nutné v rozpočtu počítat?

Výše této investice jde ruku v ruce s velikostí firmy. Ty větší obvykle najdou cestu v interních kapacitách, využijí dotačních programů nebo objemových slev, které jsou ovšem pro menší firmy často nedosažitelné. Náklady se mohou zvýšit při nedostatku kompetentních zaměstnanců a funkčních systémů na zajištění bezpečnosti nebo například neznalosti dané problematiky, která odvádí Vaši pozornost od hlavního předmětu podnikání. Tyto aspekty jsou poměrně časté a v Konica Minolta je vnímáme především u menších a středních firem.  

Konica Minolta je jeden z nejvýznamnějších celosvětových partnerů společnosti Microsoft a známe elegantní řešení, jak problematiku související s novou směrnicí NIS2 řešit. Rádi Vám poradíme.  

V textu byly použity citace NÚKIB, zdroj https://osveta.nukib.cz/course/view.php?id=145