Co vyžadují nové předpisy EU o kybernetické bezpečnosti?

9. 12. 2015

Sdílet

 Autor: © Andrea Danti - Fotolia.com
Do konce roku 2017 by měly vstoupit v platnost dva nové právní předpisy EU, které upravují informační bezpečnost a ochranu dat. Zásadním způsobem ovlivní, jak organizace v členských státech EU řeší svou ochranu a jak reportují narušení bezpečnosti a ztrátu dat.

Kyberbezpečnostní směrnice o bezpečnosti sítí a informací (Network and Information Security, NIS) a Nařízení o obecné ochraně údajů (General Data Protection Regulation, GDPR) nějakým způsobem zasáhnout všechny organizace v rámci EU bez ohledu na jejich velikost.

Stanoví standard pro zabezpečení informací a ochranu údajů a sjednotí předpisy v rámci jednotlivých členských států. Snahou je snížit počet bezpečnostních incidentů a úniků dat a osobních údajů.

Kyberbezpečnostní směrnice o bezpečnosti sítí a informací bude vyžadovat zapojení celé řady společností ze soukromého sektoru, které pomohou s realizací nových požadavků na zabezpečení a reporting incidentů.

Směrnice stanoví, že „provozovatelé kritických infrastruktur“ (organizace z oblastí veřejných služeb, dopravy, veřejného sektoru a finančních služeb) nasadí odpovídající opatření pro správu bezpečnostních rizik a hlášení závažných incidentů na vnitrostátní orgány nebo speciální nouzový kybertým.

Nařízení o obecné ochraně údajů (GDPR) sjednotí stávající nařízení o ochraně údajů v zemích EU do jednoho zákona, takže budou jednotné pokyny, jak organizace musí zacházet s osobními identifikačními údaji (Personal Identifiable Information, PII), tedy veškerými informacemi, které umožní přímo či nepřímo  identifikovat nějakou fyzickou osobu.

To se bude týkat všech organizací působících v Evropě, a to bez ohledu na to, zda jsou údaje umožňující identifikaci osob uložené uvnitř hranic Evropské unie či nikoliv. Dojde také k rozšíření definice „osobních údajů“, součástí budou i e-mailové adresy, IP adresy a obsah zveřejněný na sociálních sítích.

 

Co to znamená pro organizace?

Klíčové je, že se tyto směrnice a nařízení stanou vymahatelnými, takže pokud organizace nesplňují NIS nebo GDPR, riskují v případě narušení bezpečnosti přísné sankce. Navrhované pokuty jsou 5 % z celosvětového ročního obratu (v závislosti na segmentu) nebo až 100 milionů EUR.

Nové právní předpisy zvýší odpovědnost organizací, ale zároveň je to pro ně příležitost k přehodnocení stávajících bezpečnostních postupů. Změny v oblasti kyberbezpečnosti mohou ve výsledku pomoci otevřít nové obchodní příležitosti a získat konkurenční výhodu.

Některé z návrhů GDPR odráží směrnici NIS, speciálně pokud jde o zabezpečení systémů a dat, podobně je to i u některých sankcí. Ale GDPR má mnohem více detailů souvisejících s regulací a manipulací s osobními identifikačními údaji (PII) občanů EU.

 

Na koho se bude GDPR vztahovat?

Podléhat právním předpisům GDPR bude každá organizace nabízející zboží nebo služby v rámci členských států EU. Odstraní se tím současné nejasnosti, zda právní předpisy na ochranu údajů platí v dané zemi nebo regionu. Každá organizace podnikající v rámci EU a manipulující s osobními údaji subjektů EU by měla přijmout taková opatření, která zajistí soulad s předpisy.

„Pokud chtějí organizace minimalizovat rizika, měly by shromažďovat a zpracovávat pouze pro daný účel opravdu nezbytné informace. Nutné je také neuchovávat osobní údaje déle, než je nutné. K tomu mohou pomoci různé automatické politiky, které zajistí, že nepotřebná data jsou ihned bezpečně zničena a vymazána, a nehrozí tak žádný postih,“ říká David Řeháček, marketingový šéf pro Jižní a Východní Evropu ze společnosti Check Point Software Technologies.

 

Oznámení o narušení bezpečnosti a únicích dat

Aktuální bezpečnostní předpisy pouze navrhují, aby organizace implementovaly „vhodná“ technická bezpečnostní opatření a zvolily odpovídající obchodní postupy, ale už není konkrétně uvedeno, jak přesně postupovat a jak konkrétně by takové bezpečné řešení mělo vypadat. Nicméně ochrana by měla obsahovat uznávaná opatření, jako jsou šifrování dat a firewall, a procesně by organizace měly oznamovat narušení bezpečnosti regulátorům a postiženým jednotlivcům do 72 hodin.

„Počet kyberútoků neustále roste, zvyšuje se jejich sofistikovanost a masivní úniky dat jsou bohužel poměrně časté, takže je pravděpodobné, že počáteční pokuty podle nových nařízení budou velmi vysoké. Proto není možné brát kyberbezpečnost na lehkou váhu,“ dodává Řeháček.

 

Sankce a jejich vymáhání

V současnosti jsou v zemích Evropské unie velké rozdíly v sankcích a v jejich vymáhání. GDPR tyto rozdíly odstraní a zavede přísné tresty. Navrženy jsou sankce až 100 milionů eur nebo až 5 % celosvětového ročního obratu organizace.

Ochrana osobních údajů bude nedílnou součástí organizace. Organizace musí implementovat bezpečnostní opatření do všech technických a organizačních procesů a postupů hned do samého začátku. S bezpečností je potřeba pracovat už během přípravných fází, aby byla nedílnou součástí firmy na všech úrovních.

 

Změna v přístupu k dodavatelům

V rámci nové legislativy bude celý dodavatelský řetězec - od dodavatelů k zákazníkům - společně zodpovědný za ochranu dat. Nebude tedy možné převádět odpovědnost za zabezpečení dat. To znamená, že organizace zpracovávající velké množství informací identifikujících osoby, budou muset použít opatření pro zabezpečení dat a kontrolovat i své partnery, aby bylo zaručeno, že také oni zpracovávají osobní údaje bezpečně.

 

Inspektoři ochrany údajů

Zatím není zřejmé, jestli budou muset organizace podle GDPR jmenovat inspektora ochrany údajů (Data Protection Officer, DPO), který by byl zodpovědný za správu a ochranu interních dat a shodu s předpisy a procesy.

bitcoin_skoleni

V každém případě musí být organizace připravené, že budou muset interně řešit další zabezpečení, správu dat a reporting. Vzhledem k důležitosti těchto úkolů by takový člověk měl být na vedoucí pozici a měl by být připraven věnovat těmto úkolům většinu svého času.

Nové právní předpisy EU, které upravují oblast kyberbezpečnosti a ochrany dat, budou mít zásadní vliv na způsob, jak mnoho organizací v členských státech EU řeší své zabezpečení a jak informují o incidentech a ztrátě dat. Nicméně organizace by měly brát nové právní předpisy jako příležitost přepracovat svůj přístup ke kyberbezpečnosti, a to nejen v souladu s předpisy, protože posílením bezpečnosti mohou získat konkurenční výhodu.