top of page

Jaké budou dopady směrnice NIS2 na české firmy?

Směrnice Evropského parlamentu a rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (směrnice NIS 2) byla publikována 27. prosince 2022 v Úředním věstníku EU s platností od 16. ledna 2023. Členské státy musí do 21 měsíců od vstupu v platnost implementovat požadavky do svého vnitrostátního práva. V ČR to znamená novelizaci zákona o kybernetické bezpečnosti a některých dalších relevantních předpisů do 16. října 2024. Další lhůta pak bude stanovena pro zahájení plnění nových povinností u těch organizací, které dosud regulaci kybernetické bezpečnosti nepodléhaly.


Jaké budou dopady na české firmy?


Dle NÚKIB bylo zatím regulováno pod směrnicí NIS několik stovek nejvýznamnějších organizací v ČR. Očekává se, že s implementací této nové směrnice NIS2 bude v ČR podléhat regulaci přes 6 tisíc firem. Ověřte si, zda mezi ně patříte i vy!


Přehled změn:

  • Podle čl. 7 povinné přijetí národní strategie kybernetické bezpečnosti a kybernetických bezpečnostních politik pro vybrané oblasti

  • Podle čl. 12 koordinované zveřejňování informací o zranitelnostech a zřízení Evropské databáze zranitelností

  • Podle čl. 13 hlubší spolupráce s vnitrostátními úřady a organizacemi a koordinace dozorových činností u organizací, kterým plyne povinnost zajišťovat kybernetickou bezpečnost z více právních předpisů (např. v odvětvích energetiky, letectví nebo ochrany osobních údajů)

  • Podle čl. 14, 15 a 16 hlubší spolupráce s členskými státy v oblastech kybernetického krizového řízení, řešení rozsáhlých kybernetických bezpečnostních incidentů a sdílení strategických informací a dobré praxe

  • Podle čl. 37 hlubší spolupráce s dozorovými orgány ostatních členských států a provádění kontrol a vymáhání dodržování uložených povinností

  • V souladu s čl. 21 a 23 větší zapojení Evropské komise do sjednocení regulace (např. formou jednotných metodik pro zavádění bezpečnostních opatření nebo jednotných formulářů pro hlášení incidentů)

  • Rozšíření počtu povinných osob, a to:

    • Rozšířením regulovaných odvětví (např. odvětví odpadového hospodářství)

    • Rozšířením stávajících regulovaných odvětví o nové regulované služby (např. stávající odvětví digitální infrastruktury o nové regulované služby cloud computingu nebo poskytovatele služeb a sítí elektronických komunikací)

    • Změnou způsobu identifikace povinných osob (kdy primárním kritériem pro zařazení do regulace bude velikost organizace)

  • Podle čl. 20 povinné vzdělávání vrcholového vedení organizace a větší odpovědnost managementu za zajišťování kybernetické bezpečnosti v organizaci.

  • Podle čl. 30 dobrovolné hlášení relevantních incidentů, událostí, hrozeb a zranitelností

  • Podle čl. 27 a 28 podrobnější požadavky na vedení registru internetových domén nejvyšší úrovně a činnost registrátorů

  • Podle čl. 29 větší důraz na sdílení informací mezi povinnými organizacemi

  • Prohloubení spolupráce mezi regulátorem a povinnými organizacemi

  • Podle čl. 34 významné zvýšení pokut za nedodržení uložených povinností

Seznam oborů spadající pod NIS 2:

  • Eenergetika (elektřina, dálkové vytápění a chlazení, ropa, plyn a vodík)

  • Doprava (letecká, železniční, vodní a silniční)

  • Bankovnictví a infrastruktury finančních trhů

  • Zdravotnictví a výroba farmaceutických a zdravotnických prostředků

  • Pitná voda a odpadní vody

  • Digitální infrastruktura, výměnné uzly internetu, poskytovatelé služeb DNS, registry internetových domén nejvyšší úrovně (TLD)

  • Poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center, sítě pro doručování obsahu

  • Poskytovatelé služeb vytvářejících důvěru a veřejné sítě elektronických komunikací a služby elektronických komunikací

  • Veřejná správa

  • Vesmír

  • Poštovní a kurýrní služby

  • Nakládání s odpady, chemické látky

  • Potraviny

  • Výroba jiných zdravotnických prostředků, počítačů a elektroniky, strojního zařízení a motorových vozidel

  • Digitální poskytovatelé (internetová tržiště, internetové vyhledávače a platformy služeb sociálních sítí)

K čemu je to dobré?

Obecně řečeno, k posílení informační bezpečnosti. Směrnice mj. stanoví:

  • Opatření k řízení kybernetických bezpečnostních rizik

  • Oznamovací povinnosti pro subjekty, jejichž druhy jsou uvedeny v příloze I nebo II, jakož i pro subjekty, jež jsou určeny jakožto kritické subjekty podle směrnice (EU) 2022/ 2022/2557

  • Vztahuje na veřejné a soukromé subjekty, jejichž druhy jsou uvedeny v příloze I nebo II a které jsou považovány podle článku 2 přílohy doporučení 2003/361/ES za střední podniky (+ výjimky bez ohledu na velikost – např. poskytovatelé veřejné sítě elektronických komunikací, registrace domén a další)

Dotčené společnosti budou povinny provádět vlastní posouzení rizik. Toto posouzení musí zohlednit jak výsledky posouzení rizik na vnitrostátní úrovni, tak místní podmínky a specifika. Na tomto základě pak přijmou technická a organizační opatření ke zvýšení své odolnosti. Rovněž budou příslušným orgánům poskytovat informace o všech incidentech a možných incidentech.


Nevíte si rady? Chystáme pro vás na podzim bezplatné semináře, nebo se na nás můžete obrátit s dotazem či potřebou spolupráci při řešení.

110 zobrazení0 komentářů

Comentarios


bottom of page