fb
IT Systems 11/2024 IT právo Energetika a utility 22. 12. 2024 15:26

Směrnice CER vyžaduje posílení odolnosti subjektů kritické infrastruktury v definovaných odvětvích

Směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů (dále jen „Směrnice CER“) ruší a nahrazuje směrnici Rady 2008/​114/ES o evropské kritické infra­struktuře z roku 2008. Jejím hlavním cílem je posílení odolnosti vybraných subjektů kritické infrastruktury v definovaných odvětvích (tzv. kritických subjektů) vůči hrozbám jako jsou přírodní katastrofy, teroristické útoky, hybridní hrozby apod. Tím by měla být dosažena jakási „nedotknutelnost“ a neomezené poskytování klíčových společensky prospěšných služeb a činností v odvětvích, které jsou specifikovány v příloze Směrnice CER.

Povinnost členských států určit kritické subjekty

Podle článku 6 Směrnice CER má každý členský stát do 17. července 2026 povinnost určit tzv. kritické subjekty, které poskytují služby v odvětvích specifikovaných v příloze směrnice, jenž je potřeba ochránit proti potenciálním hrozbám. Při určování kritických subjektů by členské státy měly zohlednit především to, zda subjekt poskytuje některou ze základních služeb v příslušném „kritickém“ odvětví, zda na území členského státu působí a nachází se tam jeho kritická infrastruktura, a do jaké míry by případný bezpečností incident narušil (či dokonce znemožnil) poskytování některé z těchto služeb.

Kritické subjekty by měly být určeny pro odvětví, která jsou klíčová pro zachování důležitých společenských funkcí. Podle přílohy Směrnice CER se bude jednat zejména o subjekty působící v oblasti:

  1. energetiky (např. elektroenergetické podniky, provozovatelé distribuční soustavy),
  2. dopravy (např. významní dopravci, orgány vykonávající kontrolu a dohled nad řízením dopravy, provozovatelé dopravní infrastruktury),
  3. bankovnictví (např. banky a úvěrové instituce),
  4. zdraví (např. poskytovatelé zdravotní péče, laboratoře),
  5. pitné vody (např. dodavatelé a distributoři pitné vody),
  6. odpadních vod (např. subjekty zajišťující odvod nebo čištění odpadních vod),
  7. digitální infrastruktury (např. datové centra, registry domén, poskytovatelé veřejné sítě elektronických komunikací, cloud computingu, služeb vytvářejících důvěru),
  8. veřejné správy,
  9. vesmíru,
  10. výroby, zpracování a distribuce potravin (např. potravinářské podniky).

Odolnost kritických subjektů

Podle Směrnice CER budou mít členské státy také povinnost zajistit, aby kritické subjekty provedly do devíti měsíců od obdržení oznámení o jejich ustanovení a následně dle potřeby (nejméně však jednou za 4 roky) posouzení rizik, která mohou narušit poskytování služeb. Posouzení rizik by mělo zohlednit veškerá přírodní rizika a rizika způsobená člověkem, která by mohla vést k bezpečnostnímu incidentu, včetně rizik přeshraniční povahy, přírodních katastrof, havárií, hybridních hrozeb či teroristických činů.

Obdobné posouzení rizik budou mít povinnost vypracovat i jednotlivé členské státy pro účely určování kritických subjektů, a to nejpozději do 17. ledna 2026. Vedle uvedeného posouzení rizik budou členské státy mít do 17. ledna 2026 také povinnost vypracovat strategii pro posílení odolnosti kritických subjektů, která stanoví strategické cíle a opatření za účelem dosažení vysoké úrovně odolnosti kritických subjektů. Každá tato strategie by měla obsahovat mj. strategické cíle k posílení celkové odolnosti kritických subjektů, správní rámec pro naplnění strategických cílů, popis postupu, jak jsou určovány kritické subjekty, popis procesu podpory kritických subjektů nebo seznam hlavních orgánů zapojených do provádění strategie.

Na základě relevantních poznatků získaných z posouzení rizik člen­ské­ho státu i na základě výsledků posouzení rizik kritického subjektu budou mít členské státy následně povinnost zajistit, aby kritické subjekty přijaly vhodná technická, bezpečnostní a organizační opa­tře­ní ke zvýšení své odolnosti vůči bezpečnostním incidentům. Tato opatření by měla zahrnovat zejména (a) opatření k předcházení vzni­ku incidentů a ke snižování rizika katastrof, (b) opatření k zajištění přiměřené fyzické ochrany jejich prostor a kritické infrastruktury (např. oplocení, zábrany, monitoring objektu, detekční zařízení apod.), (c) odezvy na incidenty a odolávání důsledkům incidentů a jejich zmírňování (např. formou vnitřních postupů a protokolů pro řízení rizik), (d) zotavení se z incidentů (např. určení alternativních dodavatelských řetězců), (e) zajištění přiměřeného řízení bez­peč­nos­ti zaměstnanců (např. ve formě stanovení kategorií pracovníků vykonávajících kritické funkce, stanovení přístupových práv k prostorám, kritické infrastruktuře a citlivým informacím apod.) nebo (f) zvyšování povědomí pracovníků kritických subjektů o přijatých bezpečnostních opatřeních (např. ve formě pravidelných školení).

Oznamování incidentů a seznam kritických subjektů

Designované kritické subjekty budou mít v případě vzniku bezpečnostního incidentu povinnost o tom bez zbytečného odkladu vyrozumět příslušný orgán. Prvotní oznámení by kritické subjekty měly učinit nejpozději do 24 hodin od okamžiku, kdy se o vzniku incidentu dozví, a v relevantních případech následně do jednoho měsíce vypracovat o incidentu podrobnou zprávu. Pokud by incident mohl mít významný dopad na kontinuitu poskytování základních služeb v šesti nebo více členských státech, oznámí příslušné orgány členského státu předmětný incident Evropské komisi.

Každý členský stát podle Směrnice CER současně vytvoří seznam designovaných kritických subjektů a zajistí, aby tyto kritické subjekty byly informovány o tom, že byly jakožto kritické subjekty ustanoveny, a to do jednoho měsíce od jejich ustanovení. Členské státy následně informují kritické subjekty o jejich povinnostech podle Směrnice CER a o datu, od kterého se na ně uvedené povinnosti budou vztahovat, přičemž v případě potřeby (nejméně však jednou za čtyři roky) by členské státy měly přezkoumat a případně aktualizovat seznam určených kritických subjektů.

Závěr

V souvislosti s přijatou Směrnicí CER byl v únoru letošního roku Ministerstvem vnitra ČR předložen zbrusu nový návrh zákona o odolnosti subjektů kritické infrastruktury a o změně dalších zákonů (tzv. zákon o kritické infrastruktuře). Tento návrh je aktuálně projednáván Vládou ČR a jeho hlavním cílem je zapracovat do právního řádu České republiky požadavky Směrnice CER. Jakkoliv se dá očekávat, že v průběhu legislativního procesu návrh ještě dozná řady změn, již brzy se můžeme těšit na zpřesnění a konkretizaci požadavků Směrnice CER i v rámci vnitrostátní legislativy.

Jindřich Vítek JUDr. Jindřich Vítek, Ph.D.
Autor článku je zakladatel advokátní kanceláře Matzner & Vítek a odborný asistent na právnické fakultě.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Kontakty - Více o časopisu
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 10 IT Systems 9 IT Systems 7-8 IT Systems 6
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1