Zkratky NIS2 a DORA se v různých mediálních výstupech i diskuzích objevují v posledních měsících stále častěji. A není divu: Už jen měsíce nás dělí od počátku platnosti nového zákona o kybernetické bezpečnosti, který do české legislativy implementuje pravidla definovaná NIS2. A nařízení DORA vstoupilo v platnost už 16. ledna 2023 a poměrně rychle se blíží okamžik jeho vymahatelnosti. Příjemnou zprávou je, že většiny pojišťováků se ani jedna z uvedených zkratek netýká.
Směrnice NIS2 (Network and Information System Directive 2) definuje pravidla, která mají posílit kybernetickou bezpečnost, tj. bezpečnost informačních systémů, počítačových sítí, aplikací, softwaru a informací organizací z veřejné i soukromé sféry, které jsou významné pro chod společnosti a jejichž případné ohrožení by mohlo narušit život v obyvatel. Směrnice vstoupila v platnost a 18. října 2024 nabude účinnosti.
Cílem nařízení DORA (Digital Operational Resilience Act) je zavést komplexní rámec pro harmonizaci procesů a standardů v oblasti digitální odolnosti ve finančním sektoru a posílit autoritu dozorových orgánů a umožnit přímou kontrolu. Organizace, kterých se nařízení týká, mají přechodné období 24 měsíců na dosažení souladu s požadavky nařízení. Nejpozději do 16. ledna 2025 se tak musí na novou regulaci připravit a nastavit všechny související firemní procesy, aby byly maximálně odolné vůči digitálním rizikům a plně v souladu s novými pravidly.
Kybernetická bezpečnost je klíčovým faktorem, který mnoha kritickým odvětvím umožňuje úspěšně podstoupit digitální transformaci a plně využívat hospodářských, sociálních a udržitelných přínosů digitalizace.
DORA vs. NIS2
Zatímco NIS2 je systematicky obecný předpis, který musí jednotlivé členské státy EU implementovat do své legislativy, nařízení DORA jasně specifikuje požadavky platné pro všechny od počátku platnosti.
Pravidla stanovená NIS2 musí být implementována do české legislativy do 17. října 2024 (stát by se tak mělo prostřednictvím zákona o kybernetické bezpečnosti, který by podle předpokladů měl dotčeným subjektům poskytnout 12 měsíců na jejich zavedení do praxe).
Lhůta na splnění požadavků na digitální odolnost vyplývajících z DORA už běží a organizace, kterých se týká, mají na zohlednění nových pravidel čas do 17. ledna 2025.
Vzhledem k tomu, že nařízení DORA zahrnuje obecné požadavky směrnice NIS2, budou splněním DORA de facto naplněny i požadavky směrnice NIS2.
Zatímco NIS2 se vztahuje na střední a velké organizace (více než 50 zaměstnanci a obratem přesahujícím 10 milionů EUR), DORA se týká pouze velkých (více než 250 zaměstnanců nebo bilanční suma roční rozvahy přesahuje 43 milionů EUR nebo roční obrat přesahuje 50 milionů EUR).
DORA resp. NIS2 vs. zprostředkovatelé pojištění
Přestože se opakovaně setkáváme s konzultanty a poradenskými firmami, které zprostředkovatelům pojištění nabízejí pomoc při nastavování vnitřních procesů a pravidel v souvislosti se směrnicí NIS2 resp. BORA, málokterý z těchto “odborníků” přizná, že NIS2 se pojišťováků netýká (pojišťovny, potažmo zprostředkovatelé pojištění nejsou uvedeni jako dotčené organizace) a BORA, která zprostředkovatele reguluje (článek 2, odst. 1, písm. o) nařízení č. 2022/2554), ovšem pouze jsou-li velkými podniky (článek 2, odst. 3, písm. e) nařízení č. 2022/2554).
Co tedy dodat na závěr? Snad jen tolik, že obě legislativní “novinky” přinášejí celou řadu pravidel, ty se však netýkají mikropodniků a malých a středních podniků. Přesto není od věci si uvedenou směrnici a nařízení prostudovat a poučit se, které oblasti jsou z pohledu Evropské unie nejvíce ohrožené kybernetickými útoky a jaká opatření k posílení kybernetické bezpečnosti je vhodné mít na paměti při nastavování vnitřních pravidel.