Směrnice NIS2, která nabyla účinnosti v lednu 2025, přináší přísnější pravidla kybernetické bezpečnosti pro firmy v EU. Tato pravidla ovlivňují také využívání druhotného softwaru, který může být cenově efektivnější, ale zároveň náročný na správnou bezpečnostní správu. Při výběru druhotného softwaru je důležité zohlednit životní cyklus softwaru a pravidelné aktualizace. Důvěryhodní brokeři nabízejí podporu a poradenství firmám, aby zajistili bezpečné a legální používání softwaru a ochranu před riziky.
Bratislava, 19. února 2025 – V prosinci 2022 Evropská unie schválila směrnici NIS2 (Network and Information System Directive 2), která stanovuje pravidla a požadavky na kybernetickou bezpečnost ICT systémů a sítí. Členské státy EU měly implementovat NIS2 do svých právních řádů do 18. října 2024. Na Slovensku směrnice nabyla účinnosti 1. ledna 2025. Ovlivní nová přísnější pravidla možnost používání druhotného softwaru?
NIS2 – koho se týká?
Nová legislativa zasahuje desítky tisíc společností v celé Evropské unii a přináší významné změny v řízení kybernetické bezpečnosti ve veřejném i soukromém sektoru. Na rozdíl od předchozí směrnice NIS se mimo jiné vztahuje i na veřejnou správu, potravinářský průmysl či nakládání s odpady.
Směrnice definuje dva typy subjektů:
- Základní subjekty s nejširším rozsahem povinností.
- Důležité subjekty, které musí splňovat méně přísné požadavky, ale stále podléhají regulaci.
Za podstatné a významné subjekty se obecně považují subjekty z odvětví uvedených v přílohách I a II směrnice, které jsou minimálně středními podniky (zaměstnávají alespoň 50 osob nebo jejich roční obrat přesahuje 10 milionů EUR).
Do této kategorie patří rovněž další subjekty definované směrnicí NIS2, například veřejná správa, subjekty označené podle směrnice (EU) 2022/2557 jako kritické, poskytovatelé veřejných sítí elektronických komunikací nebo veřejně dostupných elektronických komunikačních služeb, kvalifikovaní poskytovatelé důvěryhodných služeb, registry domén nejvyšší úrovně a poskytovatelé služeb DNS bez ohledu na jejich velikost. Na základě vnitrostátních právních předpisů mohou být do působnosti směrnice zahrnuty i další subjekty.
Směrnice však obsahuje i několik výjimek. Do 17. dubna 2025 musí všechny členské státy vytvořit seznam subjektů, na které se nové předpisy vztahují.
Užitečným nástrojem pro ověření, zda se na konkrétní společnost vztahuje NIS2, je webová stránka https://nis2.nbu.gov.sk/. Provozovatelem je Národní bezpečnostní úřad odpovědný rovněž za implementaci směrnice NIS2 do slovenské legislativy.
Při řešení kybernetické bezpečnosti jde o zavedení systému řízení kybernetické bezpečnosti a vždy byste měli zohlednit:
- stupeň rizika,
- míru hrozících následků,
- rozpočet, který je k dispozici,
- přiměřenost.
NIS2 vs. druhotný software
Směrnice NIS2 v zásadě neomezuje používání druhotného softwaru, pokud jsou splněny parametry, které v této oblasti požaduje legislativa. Při výběru druhotného softwaru, u něhož lze dosáhnout optimalizace nákladů až o 70 % ceny ve srovnání s nákupem softwaru přímo od výrobce, je však třeba vzít v úvahu několik aspektů kybernetické bezpečnosti.
„Snažte se používat software, jehož životní cyklus ještě neskončil. To znamená, že výrobce pro daný produkt stále poskytuje nejnovější aktualizace zahrnující i vylepšenou kybernetickou bezpečnost. Tento cyklus může trvat více než deset let, ale vždy se vyplatí obrátit na softwarového brokera, jako je Forscope, a požádat ho o podrobnosti a odbornou pomoc. Ideální je, pokud broker nabízí rozšířenou škálu podpory včetně technických, licenčních, compliance a právních služeb. Důvěryhodný broker by to měl být schopen zajistit,“ radí Michal Baudyš, Public Sector Strategy Leader pro trhy v EU ve společnosti Forscope.
Životní cyklus softwaru
Životní cyklus softwaru se obvykle skládá ze čtyř fází:
- 1. fáze – plná podpora. Softwarová aktualizace pokrývající bezpečnostní problémy, ale i další oblasti, jako je zlepšování funkcionality apod., a umožňuje od výrobce požadovat úpravy a funkce.
- 2. fáze – rozšířená podpora. V této fázi už není možné žádat změny produktu nebo funkcionality, poskytují se pouze aktualizace kybernetické bezpečnosti. Podpora zůstává stejná.
- 3. fáze – po ukončení podpory. Stále je možné využívat aktualizace z oblasti kybernetické bezpečnosti, ale pouze za příplatek. V této fázi je vhodné vyhledat novější software.
- 4. fáze – software již není podporován.
Alternativou k třetí a čtvrté fázi může být použití vyhrazených řešení pro zvýšení kybernetické bezpečnosti softwaru, který již výrobce nepodporuje. Taková řešení mohou doporučit a poskytnout také softwaroví brokeři.
Správci firemní IT infrastruktury by proto neměli zapomínat na pravidelnou instalaci záplat a aktualizací, které mohou pomoci zabránit útokům na systémy.
Kromě toho se vždy ujistěte, že používáte ověřený software od důvěryhodného brokera. Jeho volba je klíčová, protože na trhu působí i podvodné subjekty, které nabízejí například pouze produktové klíče bez řádné dokumentace. Případný nákup nelegálního softwaru, i když v dobré víře, zvyšuje riziko soudních sporů, odpovědnost za škody kvůli porušení práv duševního vlastnictví a v případě instalace z neověřených instalačních souborů zvyšuje riziko instalace škodlivého softwaru.
O Forscope
Forscope, největší softwarový broker ve střední a východní Evropě, nabízí plně licencovaná softwarová řešení prostřednictvím inovativního a nákladově efektivního modelu akvizice pro společnosti všech velikostí i veřejné instituce. Kromě toho společnost poskytuje komplexní balík služeb, včetně technické podpory, licenčního a právního poradenství. Forscope, se sídlem v České republice, působí v dalších 9 zemích střední a východní Evropy. Společnost je certifikovaným partnerem Microsoftu a držitelem certifikací ISO 9001:2015 a ISO 27001.
