Dekorativní pozadí stránky

Přichází směrnice NIS 2 a s ní revoluce v oblasti kybernetické bezpečnosti

Přichází směrnice NIS 2 a s ní revoluce v oblasti kybernetické bezpečnosti

Směrnice NIS 1 představovala první a z dnešního pohledu neúplný pokus o regulaci kybernetické bezpečnosti v rámci Evropské unie, zavazovala členské státy k vypracování strategie v oblasti kybernetické ochrany, zvýšila vzájemnou spolupráci mezi zeměmi snadnější výměnou strategických informací a zavedla povinnosti v oblasti kyberbezpečnosti pro některé subjekty.  

Tato směrnice dostatečně nereflektovala nové trendy v oblasti kybernetické bezpečnosti, rostoucí počet kybernetických útoků a hrozby spojené s digitalizací kritických průmyslových odvětví. Evropská komise se z těchto důvodů rozhodla přinést modernizaci směrnice a dosáhnout tak lepší kybernetické odolnosti Evropské unie. 

Na koho se bude NIS 2 vztahovat?

Dosavadní právní úprava ve směrnici NIS 1 dopadala na poměrně úzký okruh subjektů ze sedmi odvětví a tří oblastí digitálních služeb. Nově bude pod regulaci spadat každý subjekt, který splní dvě podmínky současně – musí poskytovat jednu z níže uvedených služeb a zároveň musí být kvalifikován jako tzv. střední nebo velký podnik ve smyslu doporučení Komise 2003/361/ES (tedy podnik, který zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu alespoň 10 milionů EUR nebo 250 milionů CZK).  

Nově NIS 2 rozděluje subjekty na: 

  1. Základní subjekty, které poskytují služby v oblasti energetiky, dopravy, digitální infrastruktury, pitné a odpadní vody, zdravotnictví, některých prvků veřejné správy a rovněž vesmíru; a 
  2. Důležité subjekty, jako jsou poštovní a kurýrní služby, nakládání s odpady, výroba, produkce a distribuce chemických látek, výroba, zpracování a distribuce potravin a poskytovatelé digitálních služeb.

 

​​Některé z uvedených subjektů budou podléhat NIS 2 bez ohledu na výši obratu a počet zaměstnanců, zejména podniky uvedené v článku 2 odst. 2 NIS 2, které hrají zásadní roli ve fungování státu, hospodářství a kritické infrastruktury.  

Jaké nové povinnosti NIS 2 zavádí?

​Směrnice zavádí pro dotčené subjekty řadu povinnosti jako jsou například: 

  1. ​Povinnost přijmout vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik (článek 18 NIS 2). 
  2. ​Odpovědnost vedoucích orgánů za přijatá opatření v oblasti kybernetické bezpečnosti a povinnost dohledu. Za účelem získání dostatečných znalostí a dovedností mají členové vedoucích orgánů také povinnost absolvovat pravidelná školení v oblasti kybernetické bezpečnosti (článek 17 NIS 2). 
  3. ​Oznamovací povinnost pro každý incident, který má závažný dopad na poskytování služeb (článek 20 NIS 2).

Sankce po vzoru ​GDPR

​Pro společnosti, které spadají do rámce nové regulace a nezavedou všechny technické a bezpečnostní požadavky, přináší směrnice NIS 2 motivaci ve formě značně revidovaných sankcí. V případě bezpečnostního incidentu a odmítnutí spolupráce s orgánem dozoru mohou být těmto společnostem uloženy pokuty, jejichž výše je stanovena na nejméně 10.000.000 EUR nebo 2 % celkového celosvětového ročního obratu.  

Kdy vstoupí NIS 2 v účinnost?

Konečné znění směrnice bylo zveřejněno v Úředním věstníku EU dne 27.prosince 2022 a vstoupí v platnost 20. den po jeho zveřejnění. Následně budou mít členské státy 21 měsíců na implementaci směrnice do svých vnitrostátních právních předpisů, tj. konkrétně k implementaci musí dojít do 17. 10. 2024.

Závěr

​Doporučujeme všem společnostem, na které by mohla dopadat nová právní úprava, aby zvážily všechna rizika spojená s kybernetickou bezpečností, co nejdříve si směrnici přečetly a sledovaly legislativní vývoj v České republice na poli kybernetické bezpečnosti. Mělo by stačit sledovat aktivity Národního úřadu pro kybernetickou a informační bezpečnost (nis2.nukib.cz), který je v informování veřejnosti relativně činorodý. My budeme legislativní vývoj sledovat detailně a dle vývoje budeme publikovat další příspěvky na toto téma a samozřejmě budeme připravovat naše klienty na nejvhodnější kroky v této oblasti.   

 

Autoři: Dalibor Kovář, Pavel Amler a Matěj Kurtin

 

Zdroje článku

Související články
Cloud ve veřejném sektoru: proč už nejde jen o IT nákup, ale hlavně o rozdělení odpovědnosti a vendor lock in
Tomáš Chmelka, Pavel Amler, Roman Dubeň

Cloud ve veřejném sektoru: proč už nejde jen o IT nákup, ale hlavně o rozdělení odpovědnosti a vendor lock in

Tisíce občanů čeká na vyřízení žádosti. Systém je od rána nedostupný. Úřad volá svému IT dodavateli, ten ukazuje na poskytovatele cloudu, ten na bezpečnostního partnera. Každý má smlouvu, ale nikdo nemá odpovědnost. Tahle situace není hypotéza. Je reálným příkladem, který vzniká v důsledku nedostate
Kyberbezpečnost ve veřejném sektoru: jak sladit nový zákon o kybernetické bezpečnosti a zákon o zadávání veřejných zakázek ve smluvní praxi s dodavateli IT
Tomáš Chmelka, Pavel Amler, Roman Dubeň

Kyberbezpečnost ve veřejném sektoru: jak sladit nový zákon o kybernetické bezpečnosti a zákon o zadávání veřejných zakázek ve smluvní praxi s dodavateli IT

Veřejný zadavatel, který pořizuje nový informační systém nebo cloudovou službu, stojí před úkolem, který ještě před pár lety neexistoval. Zadavatel musí zároveň správně vysoutěžit zakázku a splnit povinnosti, které mu ukládá zákon o kybernetické bezpečnosti. Tyto dvě roviny se přitom na první pohled