Další krok v řešení výzev kyberbezpečnosti
V rámci naplňování Strategie kybernetické bezpečnosti EU činí orgány Evropské unie řadu kroků včetně přijímání nové legislativy. Jednotlivá opatření mají zajistit vysokou společnou úroveň kybernetické bezpečnosti v celé EU a zlepšit odolnost veřejného i soukromého sektoru i EU jako celku a jejich schopnost reagovat na bezpečnostní incidenty. Ostatně v souvislosti s dílčím tématem systému evropské certifikace kybernetické bezpečnosti jsme již publikovali na blogu HAVEL & PARTNERS: Evropská certifikace kybernetické bezpečnosti.
Nyní je na stole další balík předpisů, které budou mít podle předběžných analýz podobný dopad jako mělo před několika lety nařízení GDPR. Předkládané dokumenty představují novou a komplexní úpravu, a proto je nelze v rozsahu tohoto článku vyčerpávajícím způsobem obsáhnout
Směrnice NIS2
Návrh směrnice NIS2 (NIS2) by po přijetí měl nahradit stávající směrnici č. 1148/2016 (NIS). Cílem revidované směrnice je krom zvýšení kybernetické odolnosti podniků působících v EU také odstranění rozdílných požadavků na kybernetickou bezpečnost v různých členských státech a sjednocení provádění opatření v oblasti kybernetické bezpečnosti.
Do oblasti působnosti nové směrnice by tak měly spadat všechny střední a velké subjekty působící ve stanovených odvětvích nebo poskytující služby, na něž se směrnice vztahuje. Návrh pak i aktualizuje a významným způsobem rozšiřuje seznam odvětví a činností, na něž se vztahují povinnosti v oblasti kybernetické bezpečnosti, nově se dotkne odvětví jako je energetika, doprava, zdravotnictví anebo digitální infrastruktura, systém stanovený NIS2 by se měl vztahovat i na ústřední orgány veřejné správy. Členské státy navíc budou mít možnost rozhodnout, že se směrnice bude vztahovat i na dotčené subjekty na regionální a místní úrovni. Plnění požadavků směrnice NIS2 se kromě přímých adresátů dotkne také jejich dodavatelského řetězce, z čehož je patrné, že dopad NIS2 bude opravdu rozsáhlý.
S analýzou konkrétních povinností vyplývajících z NIS2 budeme muset počkat na její konečné znění, ale již nyní je zřejmé, že se okruh adresátů podstatných způsobem rozšíří.
Nařízení DSA (Akt o digitálních službách)
Návrh nařízení DSA se významným způsobem dotkne odpovědnosti online zprostředkovatelů, pravidel pro online reklamu nebo oblasti nezákonného obsahu a dezinformací. Okruh adresátů se dá vymezit na dvě skupiny, a to zprostředkovatelské služby nabízející síťovou infrastrukturu (např. poskytovatelé přístupu k internetu, hostingové a cloudové služby, internetová tržiště nebo sociální média) a rozsáhlé online platformy, s nimiž jsou spojena specifická rizika v podobě šíření nezákonného obsahu a škodlivého vlivu na společnost (oslovují více než 10 % ze 450 milionů spotřebitelů v Evropě).
DSA obsahuje povinnost pro všechny rozsáhlé platformy disponovat přehledným mechanismem pro nahlašování ilegálního obsahu ze strany uživatelů a celého procesu rozhodnutí, zda platforma takový obsah smaže či k němu zamezí přístup. Rozsáhlé platformy budou mít také povinnost hodnotit systémová rizika vyplývající z jejich fungování a potenciálního zneužití, a na základě vypracovaného hodnocení přijmout odpovídající opatření. Kromě zlepšení stávajících opatření by měly zavádět opatření nová (v duchu související regulace) a v ideálním případě dodržovat i dobrovolná pravidla jako například Evropský kodex boje proti dezinformacím.
Na tyto platformy by se také měla vztahovat povinnosti informovat své uživatele, pokud je využíván algoritmický nástroj ovlivňující zobrazování informací, a transparentně prezentovat parametry ovlivňující šíření obsahu. Akt o digitálních službách také ukládá platformám povinnost informovat uživatele o podrobnostech zobrazované reklamy (či sponzorovaného obsahu).
Nařízení DMA (Akt o digitálních trzích)
Návrh nařízení DMA stanovuje kritéria, na základě kterých lze velké online platformy označit jako tzv. „strážce“ (gatekeepers). Bude se jednat zejména o internetové vyhledávače, sociální média, online tržiště nebo cloudové služby atp. Tito „strážci“ pak budou muset dodržovat vybrané povinnosti k zabránění jejich možného zneužití dominantního postavení na trhu.
Konkrétním příkladem je povinnost např. umožnit třetím stranám interoperabilitu se službami „strážce“ nebo povinnost uživatelům z řad podniků umožnit propagovat jejich nabídku a uzavírat smlouvy se zákazníky i mimo platformu „strážce“. Naopak výslovný zákaz je zacházet s vlastními službami a produkty příznivěji než s podobnými službami či produkty nabízenými na jejich platformě třetími stranami, bránění spotřebitelům v propojení s podniky mimo platformu „strážce“ nebo bránění uživatelům odinstalovat předinstalovaný software.
Plnění povinností bude zajištěno pokutou až do výše 10 % celkového celosvětového ročního obratu společnosti nebo možností uložit penále až do výše 5 % průměrného denního obratu. V případě systematického porušování povinností mohou být „strážcům“ uložena další nápravná opatření týkající se chování společnosti, ale též strukturální nápravná opatření, např. odprodej (části) podniku.
Závěr
Popisovaná legislativa má tvořit ústřední prvky evropské digitální strategie, přičemž i z dosavadních návrhů je zřejmé, že předpisy svým rozsahem adresátů a obsahem povinností výrazným způsobem zasáhnou do běžného fungování digitálních platforem. Doporučujeme nepodcenit přípravu a vývoj těchto předpisů pozorně sledovat a reagovat na požadavky konečného znění předpisů.
Pokud máte zájem dozvědět se více o možném dopadu nové legislativy na Vaše podnikání, rádi pro Vás připravíme komplexní službu na míru. Naše kontakty naleznete na uvedeném odkazu.
Zdroje článku
- Strategie kybernetické bezpečnosti EU https://ec.europa.eu/commission/presscorner/api/files/document/print/cs/qanda_20_2392/QANDA_20_2392_CS.pdf
- Evropská certifikace kybernetické bezpečnosti /blog/evropska-certifikace-kyberneticke-bezpecnosti/292
- Návrh směrnice NIS2 https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:52020PC0823&from=CS
- směrnici č. 1148/2016 https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016L1148&from=cs
- Návrh nařízení DSA https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:52020PC0825&from=en
- Evropský kodex boje proti dezinformacím https://wayback.archive-it.org/12090/20201229114620/https:/ec.europa.eu/digital-single-market/en/news/code-practice-disinformation
- Návrh nařízení DMA https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:52020PC0842&from=cs
- uvedeném odkazu https://www.havelpartners.cz/