Co je NIS2 už víte z předchozího příspěvku, nyní se podíváme, které firmy musí být na pozoru, protože se jich NIS2 bude přímo týkat.
Koho se bude NIS2 týkat
Okruh těchto subjektů vyjmenovává Vyhláška o regulovaných službách, která stanovuje, že tzv. povinnými osobami jsou především:
- poskytovatelé služeb elektronických komunikací a souvisejících sítí,
- významné sítě,
- kritická informační infrastruktura,
- provozovatelé základních služeb,
- poskytovatelé digitálních služeb,
- orgány veřejné moci využívající služeb poskytovatelů cloud computingu.
Obecně lze říci, že jde o provozovatele informačních a komunikačních systémů a organizace z oborů bankovnictví, finančních služeb, energetiky, zdravotnictví, vodohospodářství, dopravy a chemického průmyslu. Pro každý z těchto oborů je stanoven proces určování, zda je subjekt povinnou osobou, jak je popsáno na webu NÚKIB.
Klasifikace povinných osob se liší podle odvětví, nový zákon bude obecně platit pro společnosti označené jako "základní subjekty" a "důležité subjekty". Základní subjekty jsou organizace s 250 a více zaměstnanci a obratem 50 milionů eur nebo rozvahou 43 milionů eur. Důležité subjekty jsou společnosti s více než 50 zaměstnanci a ročním obratem nebo rozvahou 10 milionů eur. Menší firma či organizace může spadat do kategorie vyšších povinností, pokud to vyžaduje povaha její činnosti.
Velikost se navíc posuzuje v rámci celé skupiny, tedy po zahrnutí mateřské i dceřiných společností. Bezpečnostní opatření se navíc nevztahují jen přímo na poskytované služby, ale i na související informační systémy nebo databáze, což znamená nové povinnosti i pro subdodavatele, resp. jejich výběr.
V praxi to znamená nutnost prověřovat a zajišťovat bezpečnost v rámci celého dodavatelského řetězce - u každého přímého dodavatele a poskytovatele služeb. Používá firma, na kterou se regulace vztahuje, cloudové CRM od externího dodavatele? Pak musí prověřit i jeho zabezpečení. Nechává si vyvíjet vlastní aplikace a systémy na míru? Pak jedině dodavatelem, který také splňuje požadavky na kybernetickou bezpečnost.
Z výše uvedeného je jasně patrné, že NIS2 nebude mít vliv pouze na zákonem definované firmy a organizace, ale také na některé z jejich dodavatelů - právě na toto téma připravujeme příští blogový příspěvek. Pokud stále nemáte jasno, jestli se vás bude NIS2 také týkat, neváhejte nás kontaktovat.
Váš Safee tým