Směrnice NIS2: právní opatření pro kybernetickou bezpečnost
Hlavní změnou v revidované verzi směrnice NIS 2 v porovnání s původním zněním z roku 2016 je rozšíření jejího dosahu na širší oblastí ekonomiky a aktualizace seznamu odvětví a činností, které podléhají povinnostem v oblasti kybernetické bezpečnosti. Do kategorie regulovaných odvětví nyní spadají střední podniky (bez specifických kritérií pro určení, zda podléhají regulaci), které zaměstnávají více než 50 osob a jejich obrat přesahuje 10 000 000 EUR.
Historický odkaz směrnice NIS1
Cílem první směrnice o bezpečnosti sítí a informací (NIS 1), která představovala první právní předpis EU v oblasti kybernetické bezpečnosti, bylo posílit odolnost síťových a informačních systémů. Rychlý rozvoj digitální transformace, zrychlený zejména krizí COVID-19, rozšířil pole hrozeb a vytvořil nové výzvy, na které bylo třeba adekvátně a inovativně reagovat. V důsledku toho navrhla Komise v prosinci 2020 revidovaný soubor pravidel s cílem zvýšit úroveň kybernetické odolnosti v rámci Unie. Tento návrh byl následně schválen politicky spolu zákonodárci dne 13. května 2022 a formálně přijat jako nová směrnice ke konci listopadu 2022.
Tři hlavní pilíře NIS2
1. pilíř: Všechny členské státy mají povinnost přijmout vnitrostátní strategii kybernetické bezpečnosti. Současně jsou členské státy pověřeny zřízením národních týmů pro řešení počítačových bezpečnostních incidentů (CSIRT), které mají za úkol řešit rizika a incidenty. Dále jsou pověřeny zřízením příslušného vnitrostátního orgánu pro kybernetickou bezpečnost a jednotného kontaktního místa (SPOC). SPOC bude sloužit jako styčný bod pro usnadnění přeshraniční spolupráce mezi orgány členských států, Komisí a agenturou ENISA.
2. pilíř navazuje na rámec NIS1, který zahrnuje skupinu pro spolupráci v oblasti bezpečnosti sítí a informací, s cílem usnadnit strategickou spolupráci a výměnu informací mezi členskými státy. Směrnice dále zachovává síť CSIRT, která slouží k podpoře efektivní operativní spolupráce mezi národními CSIRT.
3. pilíř zajišťuje, že v sedmi klíčových odvětvích, která hrají strategickou roli v ekonomice a společnosti a jsou silně závislá na informačních a komunikačních technologiích, budou provedena opatření k posílení kybernetické bezpečnosti. Tato odvětví zahrnují energetiku, dopravu, bankovnictví, infrastrukturu finančního trhu, pitnou vodu, zdravotní péči a digitální infrastrukturu. Provozovatelé základních služeb (OES), kteří byli určeni členskými státy, jsou povinni provádět posouzení rizik kybernetické bezpečnosti a implementovat vhodná bezpečnostní opatření. Rovněž jsou povinni informovat o závažných bezpečnostních incidentech příslušný orgán. Poskytovatelé klíčových digitálních služeb (KDS), jako jsou vyhledávače, cloudové služby a online tržiště, musí splňovat bezpečnostní a oznamovací požadavky stanovené směrnicí. Nicméně tito subjekty jsou podřízeny méně přísnému regulačnímu režimu, který je známý jako "light-touch" přístup, a nemusí dodržovat preventivní dohledová opatření.
Jaké vám hrozí sankce a pokuty při porušení předpisů směrnice NIS2?
Směrnice NIS2 stanovuje seznam prostředků, které mají příslušné orgány využívat k posílení dohledu nad dodržováním předpisů. Tyto prostředky zahrnují pravidelné a cílené audity, kontroly na místě i mimo něj, žádosti o informace a přístup k dokumentům nebo důkazům.
Mezi sankce patří závazné pokyny, příkaz k provedení doporučení bezpečnostního auditu, příkaz k uvedení bezpečnostních opatření do souladu s požadavky NIS a správní pokuty.
Výše pokut je odvislá od zařazení do kategorie významných nebo důležitých subjektů. Významné subjekty mohou být sankcionovány pokutou ve výši nejméně 10 000 000 EUR nebo 2 % celkového celosvětového ročního obratu za předchozí účetní období, podle toho, co je vyšší. Důležité subjekty mají minimální výši pokuty stanovenou na 7 000 000 EUR nebo 1,4 % celkového celosvětového ročního obratu za předchozí účetní období, s ohledem na to, co je vyšší.
S cílem zajistit skutečnou odpovědnost za opatření kybernetické bezpečnosti na organizační úrovni zavádí NIS2 ustanovení o odpovědnosti fyzických osob zastávajících vedoucí funkce v subjektech, které spadají do oblasti působnosti nové směrnice o bezpečnosti sítí a informací.
Rozhodné datum pro implementaci směrnice NIS2 je 17. října 2024
Členské státy budou muset směrnici provést do 17. října 2024 (21 měsíců od vstupu NIS2 v platnost). Komise pak musí pravidelně přezkoumávat fungování směrnice a do 17. října 2027 o tom poprvé podat zprávu Parlamentu a Radě.
Směrnice obsahuje preambuli o 144 bodech, resp. důvodech jejího přijetí a 46 právních norem obsahující mimo jiné koordinované rámce kybernetické bezpečnosti, spolupráci na unijní o mezinárodní úrovni, opatření k řízení kybernetických bezpečnostních rizik a oznamovací povinnosti, dále obsahuje pravomoce členských států, registrační principy, či sdílení informací.
Podle odhadů NUKIB bude muset regulaci implementovat až 6.000 nových subjektů.
Regulovaná odvětví, který se dotýká NIS2:
- Energetika, pododvětví: elektřina, dálkové vytápění a chlazení, ropa, zemní plyn, vodík
- Doprava, pododvětví: letecká, železniční, vodní, silniční
- Bankovnictví
- Infrastruktura finančních trhů
- Zdravotnictví
- Pitná voda & Odpadní voda
- Digitální infrastruktura
- Řízení služeb IKT
- Veřejná správa
- Vesmír
- Poštovní a kurýrní služby
- Nakládání s odpady
- Výroba, produkce a distribuce chemických látek
- Výroba, zpracování a distribuce potravin
- Výroba, pododvětví: výroba zdravotnických prostředků a diagnostických zdravotnických pro středků in vitro
- Výroba počítačů, elektronických a optických přístrojů a zařízení;
- Výroba elektrických zařízení
- Výroba strojů a zařízení j. n.;
- Výroba motorových vozidel, přívěsů a návěsů
- Výroba ostatních dopravních prostředků a zařízení
- Digitální poskytovatelé
- Výzkum