Směrnice Evropského parlamentu a rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (směrnice NIS 2) byla publikována 27. prosince 2022 v Úředním věstníku EU s platností od 16. ledna 2023. Členské státy musí do 21 měsíců od vstupu v platnost implementovat požadavky do svého vnitrostátního práva. V ČR to znamená novelizaci zákona o kybernetické bezpečnosti a některých dalších relevantních předpisů do 16. října 2024. Další lhůta pak bude stanovena pro zahájení plnění nových povinností u těch organizací, které dosud regulaci kybernetické bezpečnosti nepodléhaly.
Jaké budou dopady na české firmy?
Dle NÚKIB bylo zatím regulováno pod směrnicí NIS několik stovek nejvýznamnějších organizací v ČR. Očekává se, že s implementací této nové směrnice NIS2 bude v ČR podléhat regulaci přes 6 tisíc firem. Ověřte si, zda mezi ně patříte i vy!
Přehled změn:
Podle čl. 7 povinné přijetí národní strategie kybernetické bezpečnosti a kybernetických bezpečnostních politik pro vybrané oblasti
Podle čl. 12 koordinované zveřejňování informací o zranitelnostech a zřízení Evropské databáze zranitelností
Podle čl. 13 hlubší spolupráce s vnitrostátními úřady a organizacemi a koordinace dozorových činností u organizací, kterým plyne povinnost zajišťovat kybernetickou bezpečnost z více právních předpisů (např. v odvětvích energetiky, letectví nebo ochrany osobních údajů)
Podle čl. 14, 15 a 16 hlubší spolupráce s členskými státy v oblastech kybernetického krizového řízení, řešení rozsáhlých kybernetických bezpečnostních incidentů a sdílení strategických informací a dobré praxe
Podle čl. 37 hlubší spolupráce s dozorovými orgány ostatních členských států a provádění kontrol a vymáhání dodržování uložených povinností
V souladu s čl. 21 a 23 větší zapojení Evropské komise do sjednocení regulace (např. formou jednotných metodik pro zavádění bezpečnostních opatření nebo jednotných formulářů pro hlášení incidentů)
Rozšíření počtu povinných osob, a to:
Rozšířením regulovaných odvětví (např. odvětví odpadového hospodářství)
Rozšířením stávajících regulovaných odvětví o nové regulované služby (např. stávající odvětví digitální infrastruktury o nové regulované služby cloud computingu nebo poskytovatele služeb a sítí elektronických komunikací)
Změnou způsobu identifikace povinných osob (kdy primárním kritériem pro zařazení do regulace bude velikost organizace)
Podle čl. 20 povinné vzdělávání vrcholového vedení organizace a větší odpovědnost managementu za zajišťování kybernetické bezpečnosti v organizaci.
Podle čl. 30 dobrovolné hlášení relevantních incidentů, událostí, hrozeb a zranitelností
Podle čl. 27 a 28 podrobnější požadavky na vedení registru internetových domén nejvyšší úrovně a činnost registrátorů
Podle čl. 29 větší důraz na sdílení informací mezi povinnými organizacemi
Prohloubení spolupráce mezi regulátorem a povinnými organizacemi
Podle čl. 34 významné zvýšení pokut za nedodržení uložených povinností
Seznam oborů spadající pod NIS 2:
Eenergetika (elektřina, dálkové vytápění a chlazení, ropa, plyn a vodík)
Doprava (letecká, železniční, vodní a silniční)
Bankovnictví a infrastruktury finančních trhů
Zdravotnictví a výroba farmaceutických a zdravotnických prostředků
Pitná voda a odpadní vody
Digitální infrastruktura, výměnné uzly internetu, poskytovatelé služeb DNS, registry internetových domén nejvyšší úrovně (TLD)
Poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center, sítě pro doručování obsahu
Poskytovatelé služeb vytvářejících důvěru a veřejné sítě elektronických komunikací a služby elektronických komunikací
Veřejná správa
Vesmír
Poštovní a kurýrní služby
Nakládání s odpady, chemické látky
Potraviny
Výroba jiných zdravotnických prostředků, počítačů a elektroniky, strojního zařízení a motorových vozidel
Digitální poskytovatelé (internetová tržiště, internetové vyhledávače a platformy služeb sociálních sítí)
K čemu je to dobré?
Obecně řečeno, k posílení informační bezpečnosti. Směrnice mj. stanoví:
Opatření k řízení kybernetických bezpečnostních rizik
Oznamovací povinnosti pro subjekty, jejichž druhy jsou uvedeny v příloze I nebo II, jakož i pro subjekty, jež jsou určeny jakožto kritické subjekty podle směrnice (EU) 2022/ 2022/2557
Vztahuje na veřejné a soukromé subjekty, jejichž druhy jsou uvedeny v příloze I nebo II a které jsou považovány podle článku 2 přílohy doporučení 2003/361/ES za střední podniky (+ výjimky bez ohledu na velikost – např. poskytovatelé veřejné sítě elektronických komunikací, registrace domén a další)
Dotčené společnosti budou povinny provádět vlastní posouzení rizik. Toto posouzení musí zohlednit jak výsledky posouzení rizik na vnitrostátní úrovni, tak místní podmínky a specifika. Na tomto základě pak přijmou technická a organizační opatření ke zvýšení své odolnosti. Rovněž budou příslušným orgánům poskytovat informace o všech incidentech a možných incidentech.
Nevíte si rady? Chystáme pro vás na podzim bezplatné semináře, nebo se na nás můžete obrátit s dotazem či potřebou spolupráci při řešení.