NIS2
Vysoké sankce

Sankce za nesoulad s NIS2

Co riskujete pokud nesplníte požadavky

NIS2 přináší jedny z nejtvrdších sankcí v historii evropské kybernetické legislativy. Osobní odpovědnost vedení je novinka, která mění pravidla hry.

Finanční sankce

Základní subjekty

Fixní částka€10,000,000
% z obratu2% celosvětového ročního obratu

Uplatní se vyšší z hodnot.

Důležité subjekty

Fixní částka€7,000,000
% z obratu1.4% celosvětového ročního obratu

Příklad: Firma s obratem €100 milionů může dostat pokutu až €2 miliony.

Porovnání s GDPR

GDPR€20 mil / 4% obratu
NIS2 (základní)€10 mil / 2% obratu
NIS2 (důležité)€7 mil / 1.4% obratu

NIS2 má nižší maxima než GDPR, ale v praxi budou pokuty srovnatelné - kybernetický incident často zasáhne tisíce lidí.

Osobní odpovědnost vedení

Toto je největší změna oproti předchozí legislativě. NIS2 explicitně stanovuje, že členové statutárních orgánů nesou osobní odpovědnost.

Povinnosti vedení

  • Schvalování bezpečnostních opatření
  • Dohled nad jejich implementací
  • Absolvování školení o kybernetické bezpečnosti
  • Zajištění zdrojů pro bezpečnostní opatření

Sankce pro vedení

  • Osobní pokuta

    Členské státy mohou uložit pokutu přímo osobě

  • Dočasný zákaz

    Zákaz výkonu řídících funkcí

  • Veřejné oznámení

    Zveřejnění jména osoby odpovědné za porušení

Jednatel nemůže říct: 'O IT se stará IT oddělení, já jsem nevěděl.' NIS2 vyžaduje aktivní zapojení vedení.

Další sankce

Příkazy regulátora

  • Příkaz k nápravě - implementovat opatření ve stanovené lhůtě
  • Příkaz k informování - informovat dotčené osoby o incidentu
  • Příkaz k veřejnému oznámení - zveřejnění porušení

Omezení činnosti

  • Pozastavení certifikací nebo povolení
  • Dočasný zákaz poskytování služeb
  • Vyloučení z veřejných soutěží

Reputační škody mohou být horší než pokuta. Představte si titulek: '[Vaše firma] pokutována za zanedbání kybernetické bezpečnosti.'

Příklady porušení

Ransomware útok bez plánu

Výrobní firma dostane ransomware. Nemá incident response plán, výroba stojí 5 dní. Nenahlásili incident včas (deadline je 24 hodin).

Sankce: Pokuta za chybějící plán, pokuta za nesplnění oznamovacích povinností, příkaz k nápravě.

Nezabezpečený dodavatel

IT dodavatel má únik dat, který zasáhne vaše zákazníky. Nemáte smlouvu s bezpečnostními požadavky.

Sankce: Pokuta za nedostatečné řízení dodavatelského řetězce, příkaz k hodnocení dodavatelů.

Chybějící školení vedení

Audit zjistí, že členové vedení neabsolvovali žádné školení o kybernetické bezpečnosti.

Sankce: Varování, příkaz k absolvování školení, při opakování pokuta.

Co ovlivňuje výši pokuty

Přitěžující okolnosti

  • Úmyslné porušení nebo hrubá nedbalost
  • Opakované porušení (recidiva)
  • Nenahlášení incidentu nebo zatajování
  • Nespolupráce s regulátorem
  • Velký rozsah dopadu

Polehčující okolnosti

  • První porušení bez předchozí historie
  • Aktivní spolupráce s regulátorem
  • Rychlá náprava po zjištění
  • Dobrovolné nahlášení problémů
  • Investice do bezpečnosti

Jak se vyhnout sankcím

Teď
  • 1Udělejte assessment - zjistěte kde jste
  • 2Dokumentujte úsilí - i neúplná compliance je lepší než žádná
  • 3Nastavte incident response - alespoň základní plán
  • 4Proškolte vedení - aby znali své odpovědnosti
3-6 měsíců
  • 5Implementujte základní opatření podle priority
  • 6Vytvořte dokumentaci - politiky, plány
  • 7Vyhodnoťte dodavatele - alespoň kritické

Shrnutí rizik

Pokuta (základní subjekty)€10 mil / 2% obratu
Pokuta (důležité subjekty)€7 mil / 1.4% obratu
Osobní odpovědnostAno, včetně zákazu funkcí
Reputační škodyVeřejné oznámení
Provozní omezeníPozastavení činnosti

Sankce jsou vysoké, ale hlavní důvod pro NIS2 compliance by neměla být pokuta. Kybernetický incident bez přípravy vás může stát mnohem více.

Zjistěte své riziko

Udělejte si náš bezplatný assessment a zjistěte, ve kterých oblastech máte největší riziko.