Jak NIS2 / nZKB dopadá na poskytovatele digitálních služeb
Kdy se musí plnit dva typy rozdílných požadavků NAJEDNOU pro rozdílné typy regulovaných služeb a co s tím prakticky? Jaká jsou specifická opatření pro některé digitální služby?
Velice často se v praxi setkáváme se situacemi, že poskytovatelé digitálních služeb nejsou seznámeni s tím, že pro některé jimi poskytované služby platí specifické požadavky pokud jde o bezpečnostní opatření a významnosti incidentů. Tyto specifické požadavky vychází přímo z “NIS2 prováděcího nařízení pro digitály“. Proto jsme se rozhodli uspořádat na toto téma webinář, jehož summary a záznam publikujeme i v tomto díle newsletteru.
Mimo jiné, jsme tuto situaci konzultovali se zástupci NÚKIB a díky tomu vznikl tento nový podpůrný materiál na Portálu NÚKIB.
Kdo by měl zpozornět?
Zvláštní pozornost těmto specifikům by měli věnovat zástupci organizací, jejichž poskytované služby jsou v návrhu vyhlášky o regulovaných službách uvedeny v následujících kategoriích:
16.4 Poskytování služby systému překladu doménových jmen s výjimkou služby poskytované jako součást 16.1
16.6 Správa a provoz registru domény nejvyšší úrovně
16.8 Poskytování služby cloud computingu
16.9 Poskytování služby datového centra
16.10 Poskytování služby sítě pro doručování obsahu (CDN)
16.12 Poskytování služby vytvářející důvěru podle přímo použitelného předpisu EU
16.13 Poskytování řízené služby (MSP) s výjimkou služby uvedené v bodu 16.14
16.14 Poskytování řízené bezpečnostní služby (MSSP)
16.15 Poskytování služby on-line tržiště podle zákona upravujícího ochranu spotřebitele)
16.16 Poskytování služby internetového vyhledávače podle přímo použitelného právního předpisu Evropské unie)
16.17 Poskytování platformy sociální sítě
Proč zpozornět?
Pro poskytovatele výše uvedených typů regulovaných služeb je rozhodující, zda organizace poskytovatele naplní kritéria uvedená ve vyhlášce o regulovaných službách, ale…
… z hlediska bezpečnostních opatření se nehledí na vyšší / nižší režim regulace, ale na specifická bezpečnostní opatření podle NIS2 prováděcího nařízení pro digitály.
Pozor na kombinaci požadavků na bezpečnostní opatření
Aby to nebylo zcela jednoduché, často může docházet k situacím, kdy např.:
Organizace poskytující primárně jiné typy regulovaných služeb, poskytují centrálně MSP, MSSP prostřednictvím svých “center sdílených služeb”.
Např. holding v energetice s MSP/MSSP
Hlavní business (energetika) spadá do regulovaných služeb, do vyššího režimu a bezpečnostní opatření se uplatní podle vyhlášky pro vyšší režim.
Poskytované služby typu MSP/MSSP sice spadají do vyššího režimu taktéž, ale bezpečnostní opatření se uplatní podle NIS2 prováděcího nařízení pro digitály.
Organizace zaměřené primárně na poskytování telekomunikačních a dalších digitálních služeb.
Telekomunikační služby, které se mimo jiné řídí i zákonem o elektronických komunikacích, spadají často do vyššího/nižšího režimu regulace a bezpečnostní opatření se uplatní podle vyhlášky pro příslušný režim regulace.
Poskytované služby jako služby datových center, cloudy, MSP/MSSP sice spadají do vyššího/nižšího režimu, ale bezpečnostní opatření se vždy uplatní podle NIS2 prováděcího nařízení pro digitály.
Úskalí, výzvy a příležitosti
Jaká jsou s těmito specifiky spojena úskalí, výzvy a příležitosti se dozvíte v záznamu z celého webináře. Abychom vás motivovali na záznam kouknout, zmíníme, že se zde dozvíte např.:
Požadavky na hlášení incidentů s ohledem na významnost, kterou NIS2 definuje.
Specifická bezpečnostní opatření, jako screening zaměstnanců, hardening atp.
Jak vám může pomoci compliance mapování.
K čemu jsou GRC nástroje a jak poskytovatelům digitálních služeb mohou pomoci “Trust Portály”.
atd.
Záznam z webináře
Video záznam z webináře GUARDIANS.cz na téma, jak dopadá NIS2 a nZKB na digitální služby (ze dne 29.5.2025)
Prezentace z webináře ke stažení
Prezentace v PDF ke stažení: https://www.guardians.cz/files/webinar-guardians-nis2-a-digitalni-sluzby.pdf
GUARDIANS.cz tým vám rád pomůže!
Nevyznáte se v tom? Nevadí! GUARDIANS.cz tým vám rád pomůže např. s/se:
Získáním konkurenční výhody díky SMYSLUPLNĚ zvládnutým požadavkům na kybernetickou bezpečnost ze strany regulace/zákazníků.
Compliance mapováním.
Výběrem a nasazením GRC nástroje (DRATA, ISMS Online, ...).
Posouzením dopadu regulace ve spolupráci s partnery (právní služby).
Gap analýzou.
Přípravou na ISO/IEC 27001 certifikace vč. případného rozšíření o ISO/IEC 27017 a ISO/IEC 27018.
Přípravou pro SOC2 Type I a Type II.
Poskytováním role Manažera kybernetické bezpečnosti.
Zajištěním shody s nZKB / NIS2 obecně.
Mapováním požadavků nové regulace na SOC2 a/nebo ISO/IEC 27k (značná úspora nákladů).
Registrace do eGC ve spolupráci s partnery (kombinace právních, cyber/info sec. konzultačních služeb a pentestů)
+ více v našem portfoliu na webu https://www.guardians.cz/cs/