Směrnice NIS 1 představovala první a z dnešního pohledu neúplný pokus o regulaci kybernetické bezpečnosti v rámci Evropské unie, zavazovala členské státy k vypracování strategie v oblasti kybernetické ochrany, zvýšila vzájemnou spolupráci mezi zeměmi snadnější výměnou strategických informací a zavedla povinnosti v oblasti kyberbezpečnosti pro některé subjekty.
Tato směrnice dostatečně nereflektovala nové trendy v oblasti kybernetické bezpečnosti, rostoucí počet kybernetických útoků a hrozby spojené s digitalizací kritických průmyslových odvětví. Evropská komise se z těchto důvodů rozhodla přinést modernizaci směrnice a dosáhnout tak lepší kybernetické odolnosti Evropské unie.
Na koho se bude NIS 2 vztahovat?
Dosavadní právní úprava ve směrnici NIS 1 dopadala na poměrně úzký okruh subjektů ze sedmi odvětví a tří oblastí digitálních služeb. Nově bude pod regulaci spadat každý subjekt, který splní dvě podmínky současně – musí poskytovat jednu z níže uvedených služeb a zároveň musí být kvalifikován jako tzv. střední nebo velký podnik ve smyslu doporučení Komise 2003/361/ES (tedy podnik, který zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu alespoň 10 milionů EUR nebo 250 milionů CZK).
Nově NIS 2 rozděluje subjekty na:
- Základní subjekty, které poskytují služby v oblasti energetiky, dopravy, digitální infrastruktury, pitné a odpadní vody, zdravotnictví, některých prvků veřejné správy a rovněž vesmíru; a
- Důležité subjekty, jako jsou poštovní a kurýrní služby, nakládání s odpady, výroba, produkce a distribuce chemických látek, výroba, zpracování a distribuce potravin a poskytovatelé digitálních služeb.
Některé z uvedených subjektů budou podléhat NIS 2 bez ohledu na výši obratu a počet zaměstnanců, zejména podniky uvedené v článku 2 odst. 2 NIS 2, které hrají zásadní roli ve fungování státu, hospodářství a kritické infrastruktury.
Jaké nové povinnosti NIS 2 zavádí?
Směrnice zavádí pro dotčené subjekty řadu povinnosti jako jsou například:
- Povinnost přijmout vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik (článek 18 NIS 2).
- Odpovědnost vedoucích orgánů za přijatá opatření v oblasti kybernetické bezpečnosti a povinnost dohledu. Za účelem získání dostatečných znalostí a dovedností mají členové vedoucích orgánů také povinnost absolvovat pravidelná školení v oblasti kybernetické bezpečnosti (článek 17 NIS 2).
- Oznamovací povinnost pro každý incident, který má závažný dopad na poskytování služeb (článek 20 NIS 2).
Sankce po vzoru GDPR
Pro společnosti, které spadají do rámce nové regulace a nezavedou všechny technické a bezpečnostní požadavky, přináší směrnice NIS 2 motivaci ve formě značně revidovaných sankcí. V případě bezpečnostního incidentu a odmítnutí spolupráce s orgánem dozoru mohou být těmto společnostem uloženy pokuty, jejichž výše je stanovena na nejméně 10.000.000 EUR nebo 2 % celkového celosvětového ročního obratu.
Kdy vstoupí NIS 2 v účinnost?
Konečné znění směrnice bylo zveřejněno v Úředním věstníku EU dne 27.prosince 2022 a vstoupí v platnost 20. den po jeho zveřejnění. Následně budou mít členské státy 21 měsíců na implementaci směrnice do svých vnitrostátních právních předpisů, tj. konkrétně k implementaci musí dojít do 17. 10. 2024.
Závěr
Doporučujeme všem společnostem, na které by mohla dopadat nová právní úprava, aby zvážily všechna rizika spojená s kybernetickou bezpečností, co nejdříve si směrnici přečetly a sledovaly legislativní vývoj v České republice na poli kybernetické bezpečnosti. Mělo by stačit sledovat aktivity Národního úřadu pro kybernetickou a informační bezpečnost (nis2.nukib.cz), který je v informování veřejnosti relativně činorodý. My budeme legislativní vývoj sledovat detailně a dle vývoje budeme publikovat další příspěvky na toto téma a samozřejmě budeme připravovat naše klienty na nejvhodnější kroky v této oblasti.
Autoři: Dalibor Kovář, Pavel Amler a Matěj Kurtin
Zdroje článku
- nis2.nukib.cz https://osveta.nukib.cz/course/view.php?id=145%C2%A8