Dekorativní pozadí stránky

Přichází směrnice NIS 2 a s ní revoluce v oblasti kybernetické bezpečnosti

Přichází směrnice NIS 2 a s ní revoluce v oblasti kybernetické bezpečnosti

Směrnice NIS 1 představovala první a z dnešního pohledu neúplný pokus o regulaci kybernetické bezpečnosti v rámci Evropské unie, zavazovala členské státy k vypracování strategie v oblasti kybernetické ochrany, zvýšila vzájemnou spolupráci mezi zeměmi snadnější výměnou strategických informací a zavedla povinnosti v oblasti kyberbezpečnosti pro některé subjekty.  

Tato směrnice dostatečně nereflektovala nové trendy v oblasti kybernetické bezpečnosti, rostoucí počet kybernetických útoků a hrozby spojené s digitalizací kritických průmyslových odvětví. Evropská komise se z těchto důvodů rozhodla přinést modernizaci směrnice a dosáhnout tak lepší kybernetické odolnosti Evropské unie. 

Na koho se bude NIS 2 vztahovat?

Dosavadní právní úprava ve směrnici NIS 1 dopadala na poměrně úzký okruh subjektů ze sedmi odvětví a tří oblastí digitálních služeb. Nově bude pod regulaci spadat každý subjekt, který splní dvě podmínky současně – musí poskytovat jednu z níže uvedených služeb a zároveň musí být kvalifikován jako tzv. střední nebo velký podnik ve smyslu doporučení Komise 2003/361/ES (tedy podnik, který zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu alespoň 10 milionů EUR nebo 250 milionů CZK).  

Nově NIS 2 rozděluje subjekty na: 

  1. Základní subjekty, které poskytují služby v oblasti energetiky, dopravy, digitální infrastruktury, pitné a odpadní vody, zdravotnictví, některých prvků veřejné správy a rovněž vesmíru; a 
  2. Důležité subjekty, jako jsou poštovní a kurýrní služby, nakládání s odpady, výroba, produkce a distribuce chemických látek, výroba, zpracování a distribuce potravin a poskytovatelé digitálních služeb.

 

​​Některé z uvedených subjektů budou podléhat NIS 2 bez ohledu na výši obratu a počet zaměstnanců, zejména podniky uvedené v článku 2 odst. 2 NIS 2, které hrají zásadní roli ve fungování státu, hospodářství a kritické infrastruktury.  

Jaké nové povinnosti NIS 2 zavádí?

​Směrnice zavádí pro dotčené subjekty řadu povinnosti jako jsou například: 

  1. ​Povinnost přijmout vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik (článek 18 NIS 2). 
  2. ​Odpovědnost vedoucích orgánů za přijatá opatření v oblasti kybernetické bezpečnosti a povinnost dohledu. Za účelem získání dostatečných znalostí a dovedností mají členové vedoucích orgánů také povinnost absolvovat pravidelná školení v oblasti kybernetické bezpečnosti (článek 17 NIS 2). 
  3. ​Oznamovací povinnost pro každý incident, který má závažný dopad na poskytování služeb (článek 20 NIS 2).

Sankce po vzoru ​GDPR

​Pro společnosti, které spadají do rámce nové regulace a nezavedou všechny technické a bezpečnostní požadavky, přináší směrnice NIS 2 motivaci ve formě značně revidovaných sankcí. V případě bezpečnostního incidentu a odmítnutí spolupráce s orgánem dozoru mohou být těmto společnostem uloženy pokuty, jejichž výše je stanovena na nejméně 10.000.000 EUR nebo 2 % celkového celosvětového ročního obratu.  

Kdy vstoupí NIS 2 v účinnost?

Konečné znění směrnice bylo zveřejněno v Úředním věstníku EU dne 27.prosince 2022 a vstoupí v platnost 20. den po jeho zveřejnění. Následně budou mít členské státy 21 měsíců na implementaci směrnice do svých vnitrostátních právních předpisů, tj. konkrétně k implementaci musí dojít do 17. 10. 2024.

Závěr

​Doporučujeme všem společnostem, na které by mohla dopadat nová právní úprava, aby zvážily všechna rizika spojená s kybernetickou bezpečností, co nejdříve si směrnici přečetly a sledovaly legislativní vývoj v České republice na poli kybernetické bezpečnosti. Mělo by stačit sledovat aktivity Národního úřadu pro kybernetickou a informační bezpečnost (nis2.nukib.cz), který je v informování veřejnosti relativně činorodý. My budeme legislativní vývoj sledovat detailně a dle vývoje budeme publikovat další příspěvky na toto téma a samozřejmě budeme připravovat naše klienty na nejvhodnější kroky v této oblasti.   

 

Autoři: Dalibor Kovář, Pavel Amler a Matěj Kurtin

 

Zdroje článku

Související články
RRTV bude všechny influencery regulovat stejně jako streamovací platformy. Akorát, že vůbec
Ivan Rámeš, Michal Kandráč, Nikita Fesyukov, Robert Nešpůrek

RRTV bude všechny influencery regulovat stejně jako streamovací platformy. Akorát, že vůbec

Influenceři, kteří tvoří audiovizuální obsah, by měli mít podle nového výkladu Rady pro rozhlasové a televizní vysílání (RRTV) povinnost oznamovat svoji činnost jako poskytování audiovizuálních mediálních služeb na vyžádání (AVMSnV) a podléhat tak stejným podmínkám jako streamovací platformy. Tento