Evropská směrnice NIS2 klade od letošního roku nové požadavky na firmy i veřejné instituce v oblasti kybernetické bezpečnosti. Jejím cílem je zlepšit odolnost členských států Evropské unie vůči kybernetickým hrozbám. Na praktické dopady této legislativy i doporučení pro organizace se zaměřuje Česká společnost pro jakost (ČSJ) ve spolupráci s odborníky z oblasti řízení bezpečnosti informací.
Rozšiřuje působnost celkem na celkem 18 oborů
Pro firmy i další organizace v roce 2025 představuje největší výzvu ochránit své informace před krádeží nebo modifikací. Kybernetická bezpečnost k tomu nabízí jen vhodné nástroje. Účinným způsobem, jak se s těmito možnými riziky vypořádat, je kombinace technických řešení spolu se zavedením systému řízení bezpečnosti. Nová evropská směrnice je reakcí na tyto čím dál pravděpodobnější hrozby.
„Jde o snahu sjednotit způsob ochrany informací na úrovni členských států EU a požadavků napříč odvětvími, která si ochranu zasluhují. Výsledkem může být rychlejší a cílená reakce na incidenty napříč státy sedmadvacítky. Otázkou ale zůstává, jak se podaří dotčeným subjektům novým požadavkům v daném čase přizpůsobit,“ komentuje Ing. Antonín Šefčík, odborník na kyberbezpečnost a lektor ČSJ.
Směrnice NIS2 zásadně rozšiřuje počet odvětví, kterých se regulace dotkne. Nyní jich bude 18. Kromě tradičně citlivých sektorů nyní zahrnuje i potravinářství, chemický a vesmírný průmysl, výrobu včetně automotive a elektro, ale také odpadové hospodářství nebo veřejnou správu. Dopady pocítí tisíce organizací, především komerčních. Nároky na implementaci NIS2 se budou lišit podle velikosti a typu organizace i aktuálního stavu řízení bezpečnosti informací. Pro některé firmy půjde o aktualizaci a upřesnění stávajících provozovaných systémů (např. TISAX, ISO/IEC 27001).
„V případě zavádění režimu nižších povinností je implementace NIS2 ve vymezeném roce zvládnutelná pro podniky a subjekty, které už kyberbezpečnost nějakým způsobem řešily. Mnohem horší situace nastává ale pro ty organizace, které budou zavádět požadavky dle režimu vyšších povinností zcela nově. Bude to znamenat podstatnou zátěž v řádu vyšších statisíců až milionů korun. Ale pořád je potřeba mít na paměti, že tato opatření nejsou samoúčelná. Zvyšují zajištění bezpečnosti informací organizace,“ popisuje odborník.
Regulace se bude týkat řady subjektů veřejné a státní správy, nově se bude vztahovat také na celou řadu obcí, které z ní byly doposud vyjmuty, a dokonce se jí budou muset podřídit i vědecké instituce.
„NIS2 se tedy od předchozí normy liší nejen šíří zahrnutých oborů, ale soustředí se také na informační systémy, které nejsou bezprostředně důležité pro stát, ale definují celé služby klíčové pro jeho činnost. Předmětem ochrany je zajištění fungování těchto služeb. V praxi pak dochází především k upřesnění a rozvoji již navržených opatření,“ vysvětluje Antonín Šefčík.
Změny vyprovokované umělou inteligencí
Masivní rozvoj umělé inteligence a její použití ovlivňuje dnes téměř všechny obory včetně kybernetické bezpečnosti. Může sloužit coby nástroj lepší ochrany a preciznějšího zabezpečení, ale zároveň dává vzniknout i novým hrozbám.
„Velkým tématem jsou hrozby spojené se zneužitím AI. Je potřeba si uvědomit, že údaje zadané do veřejně přístupných a populárních nástrojů využívajících umělou inteligenci slouží k jejímu vlastnímu trénování a učení. Je zde tedy riziko, že dojde k vyzrazení důvěrných informací při tvorbě nejrůznějších firemních zpráv či zápisů. Proto je zcela na místě regulace toho, co a k čemu lze v prostředí firem a organizací využívat. Vedle kybernetické bezpečnosti nabízí relevantní a účinné postupy také AI Act,“ říká Antonín Šefčík.
Příprava na NIS2
Česká společnost pro jakost pomáhá firmám připravit se na nové požadavky zejména prostřednictvím vzdělávání. Nabízí kurz „Manažer systému bezpečnosti informací“. Připravuje i další akce zaměřené na novou evropskou směrnici. V Praze se již první z nich uskutečnila 26. května 2025. V návaznosti na schválení nového zákona ke kybernetické bezpečnosti se pak chystají následné aktivity, které by měly organizacím napříč sektory pomoci nové nároky snáze zvládnout. „Věříme, že kvalitní příprava a porozumění směrnici pomůže organizacím nejen vyhovět požadavkům legislativy, ale skutečně posílit bezpečnost evropské kybernetické infrastruktury,“ uzavírá specialista z ČSJ.
Zdroj TZ Česká společnost pro jakost
