Nové standardy kybernetické bezpečnosti NIS2 dopadnou na podniky už v roce 2025

Nejdůležitější informace pro průmyslové podniky

Kybernetická bezpečnost je dnes klíčovým tématem pro firmy napříč sektory, a to zejména s příchodem nových pravidel jako NIS2, CSA (Cybersecurity Act) a CRA (Cyber Resilience Act). Tyto požadavky, zavedené Evropskou unií, reagují na rostoucí počet kybernetických incidentů a na digitalizaci, která zvyšuje nároky na zabezpečení firemních systémů. Co tato legislativa konkrétně znamená pro vaši firmu a jak se můžete na nové požadavky připravit?

Co je NIS2?

NIS2 = Network and Information System Directive 2

S transpozicí směrnice do českého národního práva se firmy, které spadají pod směrnici NIS2, budou muset připravit na povinnosti v oblasti kybernetické bezpečnosti. Národní bezpečnostní agentury budou evidovat všechny tzv. poskytovatele regulované služby, ti musí naplňovat podmínky stanovené navrhovanou vyhláškou. Těm následně zákon přiděluje režim povinností, při čemž tyto režimy jsou dva, režim vyšších povinností a nižších povinností.

Směrnice NIS2 vstoupila v platnost na začátku roku 2023. Od té doby běží lhůta, během níž musí jednotlivé členské státy EU směrnici implementovat do národní legislativy. V České republice je tato implementace řešena prostřednictvím zákona č. 181/2014 Sb., o kybernetické bezpečnosti, jehož nová verze by měla vejít v platnost v polovině roku 2025.

Hlavním cílem NIS2 je zvýšit úroveň kybernetické bezpečnosti napříč státy Evropské unie. Toho má být dosaženo prostřednictvím správného nastavení interních procesů a pravidel, která umožní organizacím efektivně reagovat na aktuální hrozby. Požadavky směrnice NIS2 se nesoustředí pouze na technická opatření, jako je nákup hardwaru nebo nasazení bezpečnostního softwaru, kladou důraz také na rozvoj soft skills, například proškolení zaměstnanců v oblasti kyberbezpečnosti.

V České republice jsou požadavky směrnice NIS implementovány prostřednictvím zákona č. 181/2014 Sb., o kybernetické bezpečnosti. Tento zákon zatím odpovídá požadavkům původní směrnice NIS1, a proto je připravován nový zákon o kybernetické bezpečnosti, který by měl vstoupit v platnost v polovině roku 2025 (viz níže).

Směrnice NIS2 zahrnuje následující klíčová opatření:

Identifikace aktiv a zhodnocení rizik vč. analýzy dopadu
Školení zaměstnanců (v pravidelných intervalech)
Organizační opatření zahrnující i plány pro obnovu a zvládání incidentů
Opatření technického rázu (zálohování, identifikace a přístup, kybernetická ochrana)
Dodavatelé splňující na kybernetickou bezpečnost
Hlášení incidentů (procesy pro detekci, vyhodnocení, hlášení)

NIS2 Kyber bezpečnost v průmyslu

Domluvte si schůzku, naši kolegové Vám rádi a ochotně vysvětlí jak tvoříme bezpečnost ve světě průmyslu.

Smyslem naší práce je pomáhat průmyslovým firmám v oblasti bezpečnosti strojních zařízení, od přípravy posouzení rizik, přes doplnění bezpečnosti/rekonstrukce až po certifikaci stroje, či výorbní linky.

Napište nám, obratem se ozveme

Koho se NIS2 týká?

Požadavky směrnice NIS2 a nového zákona o kybernetické bezpečnosti dopadnou na poskytovatele regulovaných služeb, jejichž výčet je uvedený v příloze vyhlášky o regulovaných službách (od str. 6). Jedná se o tyto kategorie:

digitální infrastruktura a služby
doprava (letecká, drážní, vodní, silniční)
energetika (elektřina, ropa a ropné produkty, plynárenství, teplárenství, vodík)
finanční trh
chemický průmysl
obranný průmysl
odpadové hospodářství
poštovní a kurýrní služby
potravinářský průmysl
věda, výzkum a vzdělávání
veřejná správa a výkon veřejné moci
vesmírný průmysl
vodní hospodářství
výrobní průmysl
zdravotnictví

Subjekty, které poskytují pouze jednu službu spadající do některé z kategorií, budou následně rozděleny do dvou skupin (režim nižších povinností a režim vyšších povinností) dle velikosti organizace a kritérií specifických pro jednotlivá odvětví. Tato kritéria jsou blíže specifikována v příloze vyhlášky o regulovaných službách.

V případě partnerských a propojených podniků (koncerny, dceřiné společnosti, …) se do velikosti podniku počítá i mateřská společnost. Subjekt se tak může stát středním nebo velkým podnikem. Výpočet pro tento případ popisuje materiál NÚKIB.

Co znamená zavedení NIS2 pro průmyslové podniky?

Bezpečnost strojních zařízení bude mít díky NIS2 další rozměr. Kyber bezpečnost zasahuje až do výrobního procesu – do strojního zařízení. Průymslové firmy si budou muset pečlivě hlídat výběr dodavatelů a komponent. Tyto budou muset splňovat přísnější pravidla.

CRA: Cyber resiliency act

Nařízení o požadavcích na kybernetickou bezpečnost produktů s digitálními prvky, který představuje krok k posílení kybernetické bezpečnosti s cílem zajištění bezpečnějších hardware a software produktů. Tyto požadavky ovlivní projektování, vývoj, výrobu i dodávku uvedených produktů. Cílem je přispět k výraznému zlepšení kybernetické bezpečnosti a minimalizovat rizika spojená s jejich užíváním.

Machinery directive (2023/1230) neboli Machinery regulation (EU) 2023/1230

Výrobci strojů mají již dlouhou dobu povinnost používat značku CE. Od roku 2027 vstupuje v platnost Machinery directive (2023/1230), která přináší implementaci CRA, v rámci tohoto nařízení. Nově toto nařízení obsahuje i požadavky na kybernetickou bezpečnost, které mají být splněny, konkrétně ve dvou oddílech (příloha III., oddíl 1.1.9 a 1.2.1). V současné době probíhá vytváření normy EN50742 pro specifikaci těchto požadavků.

Jak se na nové NIS2 požadavky v připravit?

Pro firmy je klíčové začít s přípravou na tyto nové legislativní požadavky co nejdříve. Zde jsou konkrétní kroky, které by měly podniknout:

Zavedení ISO 27001 – Tato mezinárodně platný standart definuje požadavky na systém řízení bezpečnosti informací
Posouzení rizik – Provést interní audit a zahrnout požadavky na kybernetickou bezpečnost do firemních procesů.
Školení zaměstnanců – Zajistit, aby všichni zaměstnanci byli proškoleni v oblasti kybernetické bezpečnosti a správně obsluhovali zařízení.
Kontrola IT a OT síťové infrastruktury – Oddělení IT a OT sítí je klíčem pro zvýšení zabezpečení.

EK-INDUSTRY splňuje podmínky NIS2 pro dodavatelský řetězec

Naše služby jsme přizpůsobili požadavkům NIS2, rovněž v oblasti CRA (Cyber resiliency act) a Machine directive neboli Regulation EU (2023/1230)
Naše strojí, či průvodní dokumentace obsahuje legislativní požadavky dle NIS2
Používáme produkty dle CRA a NIS2
Splňujeme požadavky pro dodavatelský řetězec dle NIS2

Kybernetická bezpečnost je nezbytnou součástí podnikání. Dodržování nových předpisů nejen chrání vaši firmu před potenciálními hrozbami, ale také zajistí její plný soulad s legislativou.

Bezpečnosti strojních zařízení v souladu s kybernetickou bezpečností v EK-INDUSTRY rozumíme. Pro průmyslové podniky spadající do regulovaných služeb dle NIS2 zajišťujeme moderní technologie a produkty, které vaší firmě pomohou dosáhnout maximální ochrany a legislativního souladu s NIS2.

KONTAKTNÍ FORMULÁŘ

Mohlo by Vás zajímat:

Posouzení rizik podle NV 378/2001Sb. pro stroj v textilním průmyslu

Provozní doba svátky 2024

Revitalizace řídícího systéme čistírny odpadních vod pro automotive

Provozovaná strojní zařízení a povinnosti dle NV 378/2001 Sb.

Certifikace strojních zařízení dovezených ze zemí mimo EU

Provozované strojní zařízení a Nařízení vlády NV č. 378/2001 Sb.

Bezpečnostní strategie: Budování bezpečnější budoucnosti pro vaše průmyslové provozy

Potřebujete provést servis či údržbu stroje a chybí vám skutečná schémata zapojení?

Provozní doba přes Vánoční svátky 2023 a inventura 2024

Úprava a programování řídícího systému pro čerpací stanice odpadních vod

Analýza a posouzení rizik pro lamelový plnící přístroj

Začalo přípravné období pro Nařízení Evropského parlamentu 2023/1230/EU, které nahradí dosavadní strojírenskou směrnici 2006/42/ES