Požadavky na compliance
Zavedením směrnice EU 2022/2555, známé také jako NIS 2, se zvýšily požadavky na compliance v podnicích. Směrnice NIS 2 reaguje na hrozbu kybernetických útoků v EU. Směrnice reguluje kybernetickou a informační bezpečnost podniků a institucí. Kybernetické útoky jsou dnes celosvětově považovány za jedno z největších obchodních rizik pro podniky.
NIS 2 nahrazuje směrnici EU 2016/1148 (NIS 1) a má za cíl zlepšit kybernetickou bezpečnost v Evropské unii a lépe chránit podniky. Implementace směrnice NIS 2 tedy také klade zvýšené požadavky na řízení rizik a compliance v mnoha podnicích. Pokud opatření nejsou v podnicích odpovídajícím způsobem realizována, může to mít za následek sankce, jak uvádí právní kancelář MTR Legal Rechtsanwälte.
EU schválila směrnici NIS 2 v roce 2023 a do roku 2025 ji musí členské státy transponovat do vnitrostátního práva. Které podniky směrnice postihne, závisí především na povaze jejich činnosti. Směrnice byla rozšířena o další podniky, které jsou považovány za zásadní (essential) a důležité (important). To vede k výraznému nárůstu podniků a institucí, které mají zákonné povinnosti plnit vůči Spolkovému úřadu pro bezpečnost informačních technologií (BSI).
Postižení kritických infrastruktur
Mezi kritické infrastruktury, které již spadaly pod směrnici NIS 1, jako je energie, doprava, zdravotnictví, finance, vodohospodářství a digitální infrastruktura, spadají pod směrnici NIS 2 další sektory. Patří sem veřejné elektronické služby, další digitální služby jako sociální platformy, nakládání s odpadními vodami a odpadem, poštovní a kurýrní služby, veřejná správa nebo výrobci kritických produktů. Podle odhadů se v Německu bude muset kolem 29.000 podniků napříč odvětvími vypořádat s realizací směrnice NIS 2. Převážně budou vyzvány střední a velké podniky v kritických sektorech k přijetí vhodných opatření pro kybernetickou bezpečnost a k zavedení efektivní compliance. Budou také povinny informovat příslušné orgány o bezpečnostních incidentech s významnými poruchami nebo škodami.
Směrnice NIS 2 obsahuje také ustanovení o dozoru, vymáhání a dobrovolných peer reviews s cílem posílit vzájemnou důvěru a kybernetickou bezpečnost v celé Evropské unii. To také znamená, že vedení podniku má povinnost dodržovat odpovědnost, pokud nebudou dodržena opatření pro řízení rizik kybernetické bezpečnosti.
Reakce na útoky na kybernetickou bezpečnost
Se směrnicí NIS 2 je také zřízena síť týmů pro reakci na počítačové bezpečnostní incidenty, které se mají sdílet o bezpečnostních hrozbách a adekvátně reagovat na incidenty. Kromě toho je vytvořena evropská síť organizací pro propojení při kybernetických krizích. Tato síť podporuje pravidelnou výměnu informací mezi členskými státy a orgány EU, aby mohly reagovat na incidenty a krize velkého rozsahu.
Jak přesně směrnice NIS 2 bude v Německu implementována do vnitrostátního práva, zatím není jasné. Důvodem je, že implementace byla zpožděna kvůli předčasným federálním volbám. Jisté však je, že zavedením se kybernetická bezpečnost stane tématem i pro mnoho středně velkých podniků.
Podniky musí implementovat bezpečnostní opatření
Se směrnicí NIS 2 jsou postaveny před výzvu implementovat nezbytná bezpečnostní opatření, aby chránily data a kritickou infrastrukturu před možnými kybernetickými útoky. K tomu musí být přijata potřebná technická a organizační opatření. Pokud se podnik stane obětí kybernetického útoku, musí existovat plány na okamžité zmírnění škod a obnovení systémů. Rovněž je třeba informovat příslušné orgány. Kromě toho musí podniky provádět pravidelné testy k odhalení a odstranění slabých míst. Kybernetická bezpečnost by měla existovat i v rámci dodavatelského řetězce. Proto je třeba také zde reagovat na rizika.
Implementace směrnice NIS 2 znamená výzvy pro efektivní compliance v dotčených podnicích, zejména proto, že vedení a hlavní orgány mohou osobně čelit odpovědnosti, pokud nejsou implementována nezbytná bezpečnostní opatření.
MTR Legal Rechtsanwälte podporují podniky při implementaci efektivních systémů péče a zajišťují, aby byly splněny zákonné požadavky. Jako obchodně-právní kancelář MTR Legal radí v oblasti Compliance a dalších témat hospodářského trestního práva.
Neváhejte kontaktujte nás!
