Přeskočit na hlavní obsah
Novinky:
Novinky

Směrnice NIS2: Dopady na automobilový sektor

Začátkem roku 2023 vstoupila v platnost evropská směrnice NIS2 (Network and Information Systems Directive), která znamená významný posun v požadavcích na kybernetickou bezpečnost napříč různými odvětvími, včetně automobilového sektoru. Cílem směrnice je posílit ochranu kritické infrastruktury v celé Evropě a sladit opatření kybernetické bezpečnosti s vyvíjejícími se technologiemi a novými hrozbami. Směrnice EU sice stanovuje požadované cíle, ale ponechává na členských státech EU, jak jich dosáhnout prostřednictvím národní legislativy. Úroveň zralosti NIS2 se liší v jednotlivých zemích střední Evropy. Zatímco Maďarsko, Chorvatsko a Slovensko již plně implementovaly požadavky do národního práva, v jiných zemích, jako je Česká republika, Polsko nebo Rumunsko, legislativní proces souvisejících předpisů teprve probíhá. Tento článek zdůrazňuje klíčové aspekty regulace, její dopad na automobilový průmysl a doporučení pro implementaci.

Směrnice NIS2: Cíle a klíčové změny

 

Směrnice NIS2 je aktualizovaná verze první směrnice NIS, která byla přijata v roce 2016. Důvodem její revize byla rostoucí složitost digitálních technologií, nárůst kybernetických útoků a rostoucí závislost na IT systémech v kritických sektorech. NIS2 se zaměřuje na zlepšení ochrany proti kybernetickým hrozbám, a to nejen na úrovni státu, ale i pro soukromé společnosti poskytující klíčové služby.

Některé z klíčových změn, které aktualizovaná směrnice přinese, zahrnují:

NIS2 se vztahuje na širokou škálu organizací, nejen na provozovatele kritické infrastruktury, ale i společnosti v oblasti výroby, správy odpadních vod, potravinářského průmyslu, poštovních služeb a dalších. To zahrnuje také vybrané velké technologické firmy poskytující základní služby, jako je telekomunikace, včetně automobilového sektoru. Směrnice se také vztahuje na dodavatelské řetězce, což znamená, že společnosti musí zajistit kybernetickou bezpečnost i u svých dodavatelů.

Společnosti mají povinnost implementovat vhodná opatření pro řízení rizik a zabezpečení svých sítí a informačních systémů. To zahrnuje nejen ochranu proti kybernetickým útokům, ale i prevenci před poruchami a výpadky systému.

Směrnice NIS2 zavádí přísnější pravidla pro hlášení incidentů. Společnosti musí do 24 hodin ohlásit orgánům příslušným za kybernetickou bezpečnost incident a do 72 hodin poskytnout podrobné informace o povaze a rozsahu incidentu.

Dopad NIS2 na automobilový sektor

 

Automobilový průmysl se stále více spoléhá na digitální technologie, ať už jde o návrh a výrobu, autonomní vozidla, propojené systémy, virtuální testování nebo cloudové služby. Automobilky a jejich dodavatelé čelí stále sofistikovanějším kybernetickým hrozbám. Dodržování NIS2 bude mít na společnosti v tomto sektoru výrazný dopad, budou totiž muset implementovat odpovídající bezpečnostní opatření nejen ve výrobních závodech, ale také v digitálních ekosystémech a dodavatelských řetězcích.

Automobilové společnosti budou muset zajistit:

  • Ochranu proti kybernetickým útokům zaměřeným na výrobní systémy, vývoj vozidel a komunikační infrastrukturu.
  • Zabezpečení datových toků, zejména v souvislosti s autonomními vozidly.
  • Ochranu citlivých dat, jako jsou informace o návrhu vozidel, údaje o zákaznících nebo data generovaná vozidly používaná k tréninku autonomních technologií.

Implementace NIS2 v automobilovém sektoru tedy není jen o zabezpečení systémů, ale také o strategickém řízení rizik napříč organizací, do které musí být zapojeni výkonní pracovníci a další odborníci, kteří mohou přispět k celkové bezpečnosti.

Dopady na společnosti

 

Po směrnici NIS2 jsou pro organizace stanovena specifická bezpečnostní opatření:

Společnosti musí přidělit vybrané bezpečnostní role, založit procesy pro správu incidentů, plánovat nepředvídané události a kontinuitu služeb a udržovat dokumentaci a kontrolu přístupu.

Společnosti musí spravovat identity a přístup k podnikovým ICT (Information and Communication Technology) zdrojům, prosadit bezpečnost sítě a aplikací, používat kryptografické algoritmy a zajistit fyzickou bezpečnost jejich ICT zařízení, spolu s dodržováním nových pravidel o lokalizaci dat.

Vedení společnosti je odpovědné za implementaci opatření kybernetické bezpečnosti. Nedodržení může vést k sankcím, včetně zákazu výkonu funkce pro pracovníky ve vedení firmy.

Nejvyšší vedoucí pracovníci musí pravidelně absolvovat školení v oblasti kybernetické bezpečnosti a statutární orgány mají zvýšenou odpovědnost za dohled nad bezpečnostními politikami a opatřeními.

Zákon se bude vztahovat na subjekty provozující kritickou infrastrukturu, stejně jako na soukromé společnosti ve vybraných sektorech stanovených směrnicí NIS2.

 

Doporučení pro implementaci NIS2

 

Pro automobilové společnosti a jejich dodavatele je klíčové začít s implementací požadavků NIS2 co nejdříve. Několik klíčových kroků pro úspěšnou implementaci zahrnuje:

  • Komplexní hodnocení a řízení rizik: Identifikace a hodnocení kybernetických rizik specifických pro automobilový sektor a vaši organizaci.
  • Interní expertní tým: Zajištění spolupráce mezi IT specialisty, manažery a bezpečnostními odborníky pro dosažení komplexní ochrany.
  • Školení a povědomí: Investice do školení zaměstnanců o nejlepších postupech v oblasti kybernetické bezpečnosti a ochrany dat.
  • Automatizace a monitorování: Implementace systémů pro automatizované sledování kybernetické bezpečnosti a efektivní hlášení incidentů.

NIS2 přinese také více kybernetických auditů a plánů pro nepředvídané události ve všech pokrytých sektorech, včetně automobilového.

 

Závěr: Přijímání výzev v oblasti kybernetické bezpečnosti – klíčový krok pro odolnost automobilového sektoru

 

Směrnice NIS2 přináší významné změny pro automobilové společnosti a jejich dodavatele. Dodržování těchto předpisů je nezbytné nejen pro zajištění bezpečnosti systémů společnosti, ale také pro ochranu citlivých údajů a udržení důvěry zákazníků. Automobilové společnosti by měly začít s implementací těchto předpisů co nejdříve, aby se vyhnuly případným právním, reputačním a finančním následkům a zajistily bezpečnost svých digitálních a fyzických aktiv.

Kontaktujte nás

Jakub Höll

Director
+420 734 353 815