Směrnice NIS2 přichází. Na co se připravit?

25. 10. 2022. (redaktor: Michala Benešovská, zdroj: DCD Publishing)
Nová směrnice kybernetické bezpečnosti EU, která je známější pod zkratkou NIS2, vzbuzuje podobné emoce (a hlavně řadu otázek) jako nařízení GDPR před pár lety. O co jde? Koho se bude týkat? Jaké změny přinese?

Směrnice o bezpečnosti sítí a informací (NIS – The Network and Information Security) je prvním celoevropským právním předpisem o kybernetické bezpečnosti. Jejím konkrétním cílem bylo dosáhnout vysoké společné úrovně kybernetické bezpečnosti ve všech členských státech. Přestože zvýšila schopnosti členských států v oblasti kybernetické bezpečnosti, ukázalo se, že její provádění je obtížné, což vedlo k roztříštěnosti na různých úrovních napříč vnitřním trhem.

V reakci na rostoucí hrozby spojené s digitalizací a prudkým nárůstem kybernetických útoků předložila Evropská komise návrh, který má nahradit stávající směrnici o bezpečnosti sítí a informací, a tím posílit bezpečnostní požadavky, řešit bezpečnost dodavatelských řetězců, zefektivnit oznamovací povinnosti a zavést přísnější opatření v oblasti dohledu a požadavky na prosazování včetně harmonizovaných sankcí v celé EU.

Navrhované rozšíření oblasti působnosti směrnice NIS2 tím, že fakticky zavazuje více subjektů a odvětví k přijetí opatření, by v dlouhodobém horizontu pomohlo zvýšit úroveň kybernetické bezpečnosti v Evropě. V Evropském parlamentu byl spis přidělen Výboru pro průmysl, výzkum a energetiku. Výbor přijal svou zprávu dne 28. října 2021, jakož i mandát k zahájení interinstitucionálních jednání. Rada se zase dohodla na svém postoji dne 3. prosince 2021. Spoluzákonodárci dosáhli předběžné dohody o znění dne 13. května 2022. Směrnice má začít platit od roku 2024.

NIS versus NIS2

Jak už bylo řečeno, směrnici NIS, která byla přijata 6. července 2016, bylo nutné aktualizovat z důvodu rostoucí digitalizace a zvyšujícího se počtu škodlivých kybernetických aktivit na celosvětové úrovni. Komise proto ve spolupráci s odborníky provedla důkladný průzkum s cílem analyzovat dopady a přesně určit nedostatky stávající směrnice NIS. Jako hlavní problémy byly identifikovány:

  • nedostatečná úroveň kybernetické odolnosti společností se sídlem v EU,
  • nejednotná úroveň odolnosti mezi členskými státy a odvětvími,
  • nedostatečná shoda mezi členskými státy ohledně klíčových rizik a výzev,
  • nedostatečná koordinovaná reakce na krize.

Nová směrnice proto nahradí směrnici o bezpečnosti sítí a informací a stanoví stávající pravidla EU pro bezpečnost sítí a informačních systémů. Provozovatelé základních služeb a poskytovatelé digitálních služeb musejí dodržovat řadu předpisů o bezpečnosti sítí a informací stanovených směrnicí NIS. Mezi provozovatele základních služeb, na které se právní předpisy vztahují, patří podniky v odvětvích energetiky, dopravy, bankovnictví, infrastruktury finančního trhu, zdravotnictví a digitální infrastruktury. Provozovatelé základních služeb a poskytovatelé digitálních služeb jsou povinni zabezpečit své sítě a informační systémy, zajistit kontinuitu služeb a oznámit každý bezpečnostní incident, který má významný dopad na jejich fungování.

Hlavní prvky první směrnice NIS

Směrnice NIS stanoví právní opatření ke zvýšení celkové úrovně kybernetické bezpečnosti v EU s cílem přispět k celkovému fungování vnitřního trhu. Je založena na třech hlavních pilířích:

1. V zájmu dosažení vysoké úrovně připravenosti členských států směrnice o bezpečnosti sítí a informací vyžaduje, aby členské státy přijaly národní strategii bezpečnosti sítí a informačních systémů. Členské státy jsou rovněž povinny jmenovat národní týmy pro řešení počítačových bezpečnostních incidentů (CSIRT), které jsou odpovědné za řešení rizik a incidentů, příslušný vnitrostátní orgán NIS a jednotné kontaktní místo (SPOC). SPOC musí vykonávat styčnou funkci pro zajištění přeshraniční spolupráce mezi orgány členských států s příslušnými orgány v jiných členských státech a se skupinou pro spolupráci v oblasti bezpečnosti sítí a informací.

2. Směrnice NIS zřizuje skupinu pro spolupráci NIS, která podporuje a usnadňuje strategickou spolupráci a výměnu informací mezi členskými státy, a síť CSIRT, která podporuje rychlou a účinnou operativní spolupráci mezi národními CSIRT.

3. Směrnice o bezpečnosti sítí a informací zajišťuje, aby byla přijata opatření v oblasti kybernetické bezpečnosti v sedmi odvětvích, která jsou pro naše hospodářství a společnost zásadní a jež jsou do značné míry závislá na informačních a komunikačních technologiích, jako je energetika, doprava, bankovnictví, infrastruktura finančního trhu, pitná voda, zdravotní péče a digitální infrastruktura.

Veřejné a soukromé subjekty, které členské státy určí jako provozovatele základních služeb (OES) v těchto odvětvích, jsou povinny provést posouzení rizik kybernetické bezpečnosti a zavést vhodná a přiměřená bezpečnostní opatření. Jsou povinny oznámit závažné incidenty příslušným orgánům. A poskytovatelé klíčových digitálních služeb (poskytovatelé digitálních služeb nebo DSP), jako jsou vyhledávače, služby cloud computingu a online tržiště, musejí splňovat bezpečnostní a oznamovací požadavky podle směrnice. Ti zároveň podléhají takzvanému „light-touch“ regulačnímu režimu, což mimo jiné znamená, že spadají pod jurisdikci jednoho členského státu pro celou EU a nepodléhají opatřením dohledu ex ante.

Klíčové prvky směrnice NIS2

NIS2 stanoví základ pro opatření k řízení rizik kybernetické bezpečnosti a povinnosti podávání zpráv ve všech odvětvích, na něž se směrnice vztahuje (energetika, doprava, zdravotnictví a digitální infrastruktura).

Revidovaná směrnice stanoví mechanismy pro účinnou spolupráci mezi příslušnými orgány v jednotlivých členských státech. Směrnice formálně zřizuje síť Evropské styčné organizace pro kybernetické krize, EU-CyCLONe, která bude podporovat koordinované řízení rozsáhlých kybernetických bezpečnostních incidentů.

Zatímco podle staré směrnice o bezpečnosti sítí a informací byly členské státy odpovědné za určení subjektů, které budou splňovat kritéria pro kvalifikaci jako provozovatelé základních služeb, nová směrnice NIS2 zavádí pravidlo velikostního limitu. To znamená, že do působnosti směrnice budou spadat všechny středně velké a velké subjekty působící v odvětvích nebo poskytující služby, na které se směrnice vztahuje. Postoj Rady EU toto obecné pravidlo zachovává, obsahuje však další ustanovení, která mají zajistit proporcionalitu, vyšší úroveň řízení rizik a jasná kritéria kritičnosti pro určení subjektů, na něž se směrnice vztahuje.

Znění Rady EU rovněž upřesňuje, že směrnice se nebude vztahovat na subjekty vykonávající činnosti v oblastech, jako je obrana nebo národní bezpečnost, veřejná bezpečnost, prosazování práva a soudnictví. Z oblasti působnosti jsou rovněž vyloučeny parlamenty a centrální banky. Vzhledem k tomu, že cílem kybernetických útoků jsou často i orgány veřejné správy, bude se NIS2 vztahovat na subjekty veřejné správy ústředních vlád. Kromě toho mohou členské státy rozhodnout, že se bude vztahovat i na tyto subjekty na regionální a místní úrovni.

Návrh rovněž odstraňuje rozdíl mezi provozovateli základních služeb a poskytovateli digitálních služeb. Subjekty by byly klasifikovány na základě jejich významu a rozděleny do kategorií základních a významných služeb, které budou podléhat různým režimům dohledu.

Návrh posiluje a zefektivňuje bezpečnostní požadavky a požadavky na podávání zpráv pro společnosti tím, že zavádí přístup řízení rizik, který stanoví minimální seznam základních bezpečnostních prvků, jež musejí být uplatňovány. Návrh zavádí přesnější ustanovení o procesu hlášení incidentů, obsahu zpráv a lhůtách.

Komise dále navrhuje řešit bezpečnost dodavatelských řetězců a dodavatelských vztahů tím, že požaduje, aby se jednotlivé společnosti zabývaly riziky kybernetické bezpečnosti v dodavatelských řetězcích a dodavatelských vztazích. Na evropské úrovni návrh posiluje kybernetickou bezpečnost dodavatelských řetězců v případě klíčových informačních a komunikačních technologií. Členské státy mohou ve spolupráci s Komisí a agenturou ENISA provádět koordinované posuzování rizik v kritických dodavatelských řetězcích, a to na základě úspěšného přístupu přijatého v souvislosti s doporučením Komise o kybernetické bezpečnosti sítí 5G.

Návrh zavádí přísnější dohledová opatření pro vnitrostátní orgány, přísnější požadavky na vymáhání a jeho cílem je harmonizovat režimy sankcí ve všech členských státech.

Návrh rovněž posiluje úlohu skupiny pro spolupráci při utváření strategických politických rozhodnutí a zvyšuje sdílení informací a spolupráci mezi orgány členských států. Posiluje také operativní spolupráci, včetně spolupráce v oblasti řešení kybernetických krizí.

Návrh Evropské komise rovněž zavádí základní rámec s odpovědnými klíčovými aktéry pro koordinované zveřejňování nově objevených zranitelností v celé EU a vytváří registr EU v této oblasti, který bude provozovat Agentura EU pro kybernetickou bezpečnost (ENISA).

NIS2 v České republice

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) potvrzuje, že dosavadní regulace kybernetické bezpečnosti byla v České republice koncipována pro poměrně úzkou skupinu několika stovek nejdůležitějších a nejvýznamnějších organizací s velkým dopadem na celou společnost. Úhrnem se NIS2 dotkne v České republice zhruba 6 000 institucí a firem. Mezi organizace spadající pod regulaci NIS2 patří instituce v bankovnictví, energetice, dopravě, zdravotnictví, potravinářství či petrochemii, ale i v odpadovém hospodářství. Týká se též poskytovatelů digitálních a informačních služeb, provozovatelů datových center, veřejné správy a pošty. Zařazené subjekty jsou rozděleny do dvou skupin – essential entities a important entities (tedy základní a důležité subjekty).

Základní subjekty spadají do těchto oblastí:

  • energetika (elektřina, dálkové vytápění a chlazení, ropa, plyn a vodík),
  • doprava (letecká, železniční, vodní a silniční),
  • bankovnictví a infrastruktury finančních trhů,
  • zdravotnictví a výroba farmaceutických a zdravotnických prostředků,
  • pitná voda a odpadní vody,
  • digitální infrastruktura, výměnné uzly internetu, poskytovatelé služeb DNS, registry internetových domén nejvyšší úrovně (TLD),
  • poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center, sítě pro doručování obsahu,
  • poskytovatelé služeb vytvářejících důvěru a veřejné sítě elektronických komunikací a služby elektronických komunikací,
  • veřejná správa,
  • vesmír.


Mezi důležité organizace patří ty, které spadají do těchto oblastí:

  • poštovní a kurýrní služby,
  • nakládání s odpady, chemické látky,
  • potraviny,
  • výroba jiných zdravotnických prostředků, počítačů a elektroniky, strojního zařízení a motorových vozidel,
  • digitální poskytovatelé (internetová tržiště, internetové vyhledávače a platformy služeb sociálních sítí).

 Přísnější požadavky budou na základní organizace, kterých je zhruba tisíc, jako jsou třeba nemocnice, elektrárny či letiště. Důležitých organizací, na něž se vztahují méně striktní pravidla, bude kolem pěti tisíc. Zde půjde třeba o kurýrní služby, odpadový či chemický průmysl.

Směrnice dopadne i na odvětví dosud nedotčené zákonným dohledem nad svým kyberzabezpečením. Jde třeba o odpadní vody či poskytovatele veřejných ICT služeb. Česká republika bude směrnici zavádět pomocí novely zákona o kybernetické bezpečnosti.

Nutná opatření

Subjekty dotčené NIS2 budou muset přijmout technická a organizační opatření ke zvýšení síťové a informační bezpečnosti. Nejde o žádné zásadní inovace, spíše o sjednocení dílčích segmentů bezpečnosti. Bude nutné se věnovat například analýze rizik, bude zapotřebí zajistit odolnost vnitřní sítě a informačních systémů, důsledné šifrování a prevenci či neodkladné řešení incidentů a efektivní prostředky krizového řízení. Stěžejní bude nově též zabezpečení dodavatelského řetězce, směrnice rovněž přenese příslušnou přímou odpovědnost na statutární orgány firem.

Pro organizace z toho vyplyne zavádění interních procesů, jako jsou bezpečnostní dokumentace či vzdělávání uživatelů. Také bude nutné dovybavit se určitými technologiemi či zlepšit ty stávající – například programy na vyhodnocování incidentů. Subjekty, které se již zařídily podle směrnice NIS, nečekají drastické změny; dá se říct, že jen optimalizace, větší zásahy se budou týkat dosud neregulovaných organizací.

A co pokuty?

Podle NÚKIB půjde zpočátku spíše o konzultace a metodickou podporu než o likvidační pokuty. Řada organizací a společností už pochopila, že je v jejich zájmu pravidla kybernetické bezpečnosti dodržovat, zasazují se o její rozvoj a dodržují platnou legislativu, takže se v souvislosti s NIS2 nepotkají s něčím, o čem v životě neslyšely.

Mnohé podniky u nás jsou již dnes dobře a důkladně zabezpečeny, například elektrárny či část automatizovaných dopravních provozů. Pokud jde o vyčíslení pokut, v případě, že by došlo k fatálním prohřeškům proti NIS2, ta je stanovena pro regulované organizace v kategorii „important“ horní hranicí sedm milion eur nebo 1,4 % ze světového obratu (cokoliv je vyšší). V režimu „essential“ je potom horní hranice deset milionů eur nebo 2 % ze světového obratu.

Štítky: 

Podobné články

Zasáhnou chystané normy ke kyberbezpečnosti podniky stejnou měrou jako GDPR?

22. 2. 2022. (redaktor: František Doupal, zdroj: KPMG Česká republika, AK Toman & partneři)
Posílit a přeorganizovat IT oddělení a plnit aktualizovaný zákon o kybernetické bezpečnosti. Tyto a další povinnosti přinesou firmám projednávané digitální předpisy EU známé jako NIS2, DSA a DMA. Čtěte více
Foto: Pixabay.com

Infografika: 10 kroků, jak vyhovět GDPR

7. 9. 2017. (redaktor: František Doupal, zdroj: Mailkit)
Do 25. května 2018 musí všechny společnosti z e-commerce sektoru splnit podmínky Obecného nařízení o ochraně osobních údajů (GDPR). Pokud vás zajímá, jak na to, může vám napovědět názorná infografika společnosti Mailkit. Čtěte více
Foto: Freeimages.com

ČOI může pomáhat při řešení sporů

8. 2. 2016. (redaktor: František Doupal, zdroj: dTest)
Od prvního února platí nová právní úprava pro řešení spotřebitelských sporů. Kromě České obchodní inspekce pomohou také Český telekomunikační úřad, Energetický regulační úřad a Finanční arbitr. Čtěte více
Foto: Freeimages.com

Co přinese novela zákona na ochranu spotřebitele a na co se připravit?

6. 1. 2016. (redaktor: František Doupal, zdroj: APEK)
Novela zákona o ochraně spotřebitele nabyla 28. prosince 2015 účinnosti a obchodníci jí musí věnovat pozornost. Přináší jak části týkající se ochrany spotřebitelů proti nekalým praktikám či klamavému chování, tak možnost řešit spotřebitelské spory mimosoudní cestou. Toto „mimosoudní řešení spotřebitelských sporů“ nabyde účinnosti 1. února 2016. Čtěte více