Směrnice NIS2: právní opatření pro kybernetickou bezpečnost

Hlavní změnou v revidované verzi směrnice NIS 2 v porovnání s původním zněním z roku 2016 je rozšíření jejího dosahu na širší oblastí ekonomiky a aktualizace seznamu odvětví a činností, které podléhají povinnostem v oblasti kybernetické bezpečnosti. Do kategorie regulovaných odvětví nyní spadají střední podniky (bez specifických kritérií pro určení, zda podléhají regulaci), které zaměstnávají více než 50 osob a jejich obrat přesahuje 10 000 000 EUR. 

Historický odkaz směrnice NIS1

Cílem první směrnice o bezpečnosti sítí a informací (NIS 1), která představovala první právní předpis EU v oblasti kybernetické bezpečnosti, bylo posílit odolnost síťových a informačních systémů. Rychlý rozvoj digitální transformace, zrychlený zejména krizí COVID-19, rozšířil pole hrozeb a vytvořil nové výzvy, na které bylo třeba adekvátně a inovativně reagovat. V důsledku toho navrhla Komise v prosinci 2020 revidovaný soubor pravidel s cílem zvýšit úroveň kybernetické odolnosti v rámci Unie. Tento návrh byl následně schválen politicky spolu zákonodárci dne 13. května 2022 a formálně přijat jako nová směrnice ke konci listopadu 2022.

Tři hlavní pilíře NIS2

1. pilíř: Všechny členské státy mají povinnost přijmout vnitrostátní strategii kybernetické bezpečnosti. Současně jsou členské státy pověřeny zřízením národních týmů pro řešení počítačových bezpečnostních incidentů (CSIRT), které mají za úkol řešit rizika a incidenty. Dále jsou pověřeny zřízením příslušného vnitrostátního orgánu pro kybernetickou bezpečnost a jednotného kontaktního místa (SPOC). SPOC bude sloužit jako styčný bod pro usnadnění přeshraniční spolupráce mezi orgány členských států, Komisí a agenturou ENISA. 

2. pilíř navazuje na rámec NIS1, který zahrnuje skupinu pro spolupráci v oblasti bezpečnosti sítí a informací, s cílem usnadnit strategickou spolupráci a výměnu informací mezi členskými státy. Směrnice dále zachovává síť CSIRT, která slouží k podpoře efektivní operativní spolupráce mezi národními CSIRT.

3. pilíř zajišťuje, že v sedmi klíčových odvětvích, která hrají strategickou roli v ekonomice a společnosti a jsou silně závislá na informačních a komunikačních technologiích, budou provedena opatření k posílení kybernetické bezpečnosti. Tato odvětví zahrnují energetiku, dopravu, bankovnictví, infrastrukturu finančního trhu, pitnou vodu, zdravotní péči a digitální infrastrukturu. Provozovatelé základních služeb (OES), kteří byli určeni členskými státy, jsou povinni provádět posouzení rizik kybernetické bezpečnosti a implementovat vhodná bezpečnostní opatření. Rovněž jsou povinni informovat o závažných bezpečnostních incidentech příslušný orgán. Poskytovatelé klíčových digitálních služeb (KDS), jako jsou vyhledávače, cloudové služby a online tržiště, musí splňovat bezpečnostní a oznamovací požadavky stanovené směrnicí. Nicméně tito subjekty jsou podřízeny méně přísnému regulačnímu režimu, který je známý jako "light-touch" přístup, a nemusí dodržovat preventivní dohledová opatření.

Jaké vám hrozí sankce a pokuty při porušení předpisů směrnice NIS2?

Směrnice NIS2 stanovuje seznam prostředků, které mají příslušné orgány využívat k posílení dohledu nad dodržováním předpisů. Tyto prostředky zahrnují pravidelné a cílené audity, kontroly na místě i mimo něj, žádosti o informace a přístup k dokumentům nebo důkazům. 

Mezi sankce patří závazné pokyny, příkaz k provedení doporučení bezpečnostního auditu, příkaz k uvedení bezpečnostních opatření do souladu s požadavky NIS a správní pokuty. 

Výše pokut je odvislá od zařazení do kategorie významných nebo důležitých subjektů. Významné subjekty mohou být sankcionovány pokutou ve výši nejméně 10 000 000 EUR nebo 2 % celkového celosvětového ročního obratu za předchozí účetní období, podle toho, co je vyšší. Důležité subjekty mají minimální výši pokuty stanovenou na 7 000 000 EUR nebo 1,4 % celkového celosvětového ročního obratu za předchozí účetní období, s ohledem na to, co je vyšší.

S cílem zajistit skutečnou odpovědnost za opatření kybernetické bezpečnosti na organizační úrovni zavádí NIS2 ustanovení o odpovědnosti fyzických osob zastávajících vedoucí funkce v subjektech, které spadají do oblasti působnosti nové směrnice o bezpečnosti sítí a informací.

Rozhodné datum pro implementaci směrnice NIS2 je 17. října 2024

Členské státy budou muset směrnici provést do 17. října 2024 (21 měsíců od vstupu NIS2 v platnost). Komise pak musí pravidelně přezkoumávat fungování směrnice a do 17. října 2027 o tom poprvé podat zprávu Parlamentu a Radě.

Směrnice obsahuje preambuli o 144 bodech, resp. důvodech jejího přijetí a 46 právních norem obsahující mimo jiné koordinované rámce kybernetické bezpečnosti, spolupráci na unijní o mezinárodní úrovni, opatření k řízení kybernetických bezpečnostních rizik a oznamovací povinnosti, dále obsahuje pravomoce členských států, registrační principy, či sdílení informací.

Podle odhadů NUKIB bude muset regulaci implementovat až 6.000 nových subjektů.

Regulovaná odvětví, který se dotýká NIS2:

• Energetika, pododvětví: elektřina, dálkové vytápění a chlazení, ropa, zemní plyn, vodík
• Doprava, pododvětví: letecká, železniční, vodní, silniční
• Bankovnictví
• Infrastruktura finančních trhů
• Zdravotnictví
• Pitná voda & Odpadní voda
• Digitální infrastruktura
• Řízení služeb IKT
• Veřejná správa
• Vesmír
• Poštovní a kurýrní služby
• Nakládání s odpady
• Výroba, produkce a distribuce chemických látek
• Výroba, zpracování a distribuce potravin
• Výroba, pododvětví: výroba zdravotnických prostředků a diagnostických zdravotnických pro středků in vitro
• Výroba počítačů, elektronických a optických přístrojů a zařízení; 
• Výroba elektrických zařízení
• Výroba strojů a zařízení j. n.; 
• Výroba motorových vozidel, přívěsů a návěsů
• Výroba ostatních dopravních prostředků a zařízení
• Digitální poskytovatelé
• Výzkum