Evropská unie vydala na konci roku 2022 směrnici, která upravuje kybernetickou bezpečnost ve firmách. Má tajuplnou zkratku NIS2 a obavy kolem jejího zavádění připomínají pozdvižení kolem GDPR před pár lety. Dotkne se vůbec tento předpis HR? A jak?
Pokud nejste vysloveně mini firma, téma NIS2 by vás mělo aspoň na chvíli zaujmout. Minimálně, abyste zjistili, jestli pro vás nová pravidla budou platit.
1. Co je to za předpis?
Směrnice Evropské unie, která se týká kybernetické bezpečnosti. U nás začne platit od října 2024 prostřednictvím zákona o kybernetické bezpečnosti.
2. Na koho nové povinnosti dopadnou?
Na velké a střední instituce, které působí v některém z odvětví vymezených v příloze.
- Jsou to například odvětví: energetika, zdravotnictví, potravinářství, farmacie, IT včetně cloudových služeb, bankovnictví, vodárenství, odpadové hospodářství, doprava nebo poštovní služby, ale i vybrané výrobní obory.
- Střední podniky podle metodiky EU mají do 250 zaměstnanců a současně je jejich roční obrat maximálně 50 mil. eur, nebo bilanční suma roční rozvahy 43 mil. eur.
- Velké podniky jsou všechny nad tyto hodnoty.
- Podle kombinace odvětví a velikosti budou firmy ještě rozděleny do dvou režimů: přísnější režim „základní“ a mírnější režim „důležité“.
3. Co směrnice upravuje?
Posílení ochrany dat a ochrany před kybernetickými útoky v rámci celé Evropské unie. Stanovuje několik okruhů činností:
- Systematizace. Firmy musí přijmout vnitřní směrnice o informační bezpečnosti a procesy řízení bezpečnosti, hodnocení a řízení rizik. Zkrátka, nastavit si jasná pravidla.
- Zvládání incidentů. Tedy monitoring, řešení a povinné hlášení incidentů na NÚKIB.
- Kontinuita činností. To znamená zajistit kontinuitu provozu v případě incidentu, zavést či modernizovat zálohování a systém zotavení, nastavit krizové řízení.
- Bezpečnost dodavatelského řetězce. Tzn. vybírat spolehlivé dodavatele služeb, včetně IT, cloudových a bezpečnostních řešení.
- Bezpečnost systémů. Bude nezbytné průběžně řešit zabezpečení informačního systému, a to jak softwaru, tak i hardwaru a sítí.
- Opatření na ochranu dat. Například využívání kryptografie a šifrování, vícefaktorového ověření a bezpečných komunikačních nástrojů.
- Hodnocení účinnosti. Firmy musí pravidelně provádět audity svých opatření.
- Vzdělávání v oblasti kyberbezpečnosti. Nutností budou školení o bezpečnosti v kyberprostoru.
4. Co hrozí za neplnění povinností?
- Pokuta 10 milionů eur nebo 2 % z celkového celosvětového ročního obratu, pokud je podnik v přísném režimu „základní“.
- Pokuta 7 milionů eur nebo 1,4 % z celkového celosvětového obratu pro společnosti v režimu „důležité“.
5. Jak se směrnice projeví speciálně v HR?
Firmy musí překontrolovat ochranu osobních údajů a dat týkajících se zaměstnanců i uchazečů o zaměstnání. Důležité je pro komunikaci s uchazeči používat výhradně bezpečné kanály (zabezpečený e-mail, chatovací aplikace s koncovým šifrováním) a školit i personalisty o kybernetické bezpečnosti, zejména riziku phishingu, kterému mohou být jako příjemci mnoha e-mailů s nejrůznějšími přílohami vystaveni.
6. Jak to ovlivní digitalizaci HR?
V případě digitalizace je na místě obezřetný výběr dodavatele HR aplikace. Ptejte se, jak má bezpečnost ve své aplikaci podchycenou.
Speybl je příkladem dobré praxe. Od počátku vývoje je jeho součástí nativní zabezpečení. K zajištění kontinuity fungování aplikace a bezpečnosti cloudového řešení využívá důvěryhodný systém Microsoftu. Americký IT gigant se rozvoji kyberbezpečnosti v posledních letech intenzivně věnuje a vyvíjí kvalitní řešení. Aplikace má i další preventivní mechanismy, jako je například trackování provozu, takže umí snadněji předpovídat problémy a reagovat na ně.
Připravte se na NIS2 s předstihem a pořiďte si HR aplikaci, která už dnes splňuje kritéria nastavená ve směrnici.
