Co přináší směrnice NIS2 o kybernetické bezpečnosti
Na konci roku 2022 bylo schváleno finální znění směrnice EP a Rady (EU) č. 2022/2555, o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Evropské unii (dále jen „NIS2“). Tato směrnice navazuje na stávající směrnici NIS 1, která zvýšila vzájemnou spolupráci mezi členskými státy v rámci výměny strategických informací a zavedla určitě povinnosti v oblasti kybernetické bezpečnosti pro vybrané subjekty. Nová směrnice NIS2 však podstatně rozšiřuje okruh povinných subjektů a odstraňuje řadu dosavadních nedostatků. Na jaké subjekty se bude NIS2 vztahovat a jaké povinnosti jim bude ukládat? Pojďme se blíže podívat na základní aspekty této směrnice v oblasti kybernetické bezpečnosti.
Na jaké subjekty se bude NIS2 vztahovat?
Nová směrnice NIS2 ve srovnání s dosavadní směrnicí NIS1 podstatně rozšíří okruh povinných osob. Směrnice NIS2 bude dopadat na všechny veřejné a soukromé subjekty, jejichž druhy jsou specifikovány v přílohách I nebo II této směrnice a které jsou považovány za tzv. střední a velké podniky ve smyslu doporučení Komise č. 2003/361/ES (tj. podniky zaměstnávající 50 a více zaměstnanců, nebo dosahující ročního obratu alespoň 10 milionů eur). Bez ohledu na velikost a celkový roční obrat se však směrnice NIS2 bude vztahovat také na subjekty uvedené v článku 2 odst. 2 NIS2, jenž mají klíčový význam pro fungování státu, ekonomiky a kritické infrastruktury. Zde se bude jednat např. o poskytovatele veřejné sítě elektronických komunikací, poskytovatele služeb vytvářejících důvěru, registry domén nejvyšší úrovně a provozovatele DNS, subjekty veřejné správy, výhradní poskytovatele služeb, jež mají zásadní význam pro zachování kritických společenských nebo hospodářských činností atp.
V současnosti jsou povinné osoby zákonem č. 181/2014 Sb., o kybernetické bezpečnosti, v platném znění, rozděleny do celé řady kategorií. Směrnice NIS2 však dělí povinné osoby na dvě hlavní kategorie. První z nich se nazývá „základní subjekt“, jenž zahrnuje povinné osoby, které by měly mít v rámci právní regulace nejvyšší ochranu, vzhledem k nejvyšší míře bezpečnostního rizika pro informační systémy. Mezi tyto subjekty se budou řadit například osoby poskytující služby v oblasti energetiky, dopravy, digitální infrastruktury, pitné a odpadní vody nebo zdravotnictví. Druhou kategorii představují povinné osoby v kategorii „důležitý subjekt“, která označuje subjekty s nižšími požadavky na řízení bezpečnostních rizik informačních systémů. Do této skupiny spadají například poštovní a kurýrní služby nebo výroba, produkce a distribuce potravin.
Jaké povinnosti NIS2 přinese?
Jednou ze základních povinností NIS2 bude povinnost, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy. Tato opatření, jejichž výčet je obsažen v článku 21 směrnice, by měla zahrnovat například politiku analýzy rizik a bezpečnosti informačních systémů, správu zálohování dat a obnovu provozu po havárii, bezpečnost dodavatelského řetězce, zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, školení v oblasti kybernetické bezpečnosti, postupy týkající se používání kryptografie a šifrování, nebo ve vhodných případech používání vícefaktorových autentizačních řešení atp.
Směrnice NIS2 zakotvuje také přímou odpovědnost řídících orgánů základních a důležitých subjektů za přijetí opatření k řízení kybernetických bezpečnostních rizik (specifikovaných v článku 21 směrnice), jakož i za dohled nad jejich uplatňováním. Řídící orgány povinných subjektů budou mít podle NIS2 rovněž povinnost absolvovat školení, za účelem získání dostatečných znalostí a dovedností v oblasti kybernetické bezpečnosti.
Vedle zavádění bezpečnostních opatření a provádění dohledu nad jejich dodržováním bude další důležitou povinností povinných subjektů oznamování a řízení kybernetických bezpečnostních incidentů. Regulované subjekty budou mít podle NIS2 povinnost hlásit takové incidenty, které mají „významný dopad“ na poskytování jejich služeb. Incident v takovém případě bude považován za významný, jestliže: a) dotčenému subjektu způsobil nebo může způsobit závažné provozní narušení služeb nebo finanční ztráty, nebo b) způsobil nebo může způsobit jiným osobám značnou hmotnou či nehmotnou újmu.
Povinné subjekty budou mít povinnost oznamovat incidenty, které mají významný dopad na poskytování služby, a to bez zbytečného odkladu, nejpozději však do 24 hodin od jejich zjištění – formou tzv. „včasného varování“. Obsahem včasného varování by měly být základní údaje o incidentu (zejm. zda je incident způsoben nezákonným jednáním nebo zda by mohl mít přeshraniční dopad). Tyto informace by měly být pak nejpozději do 72 hodin zpřesněny ve formě tzv. prvotního posouzení významného incidentu, jehož obsahem bude doplnění bližších informací o incidentu, jakož i posouzení jeho závažnosti a dopadů. Do jednoho měsíce od prvotního posouzení bude mít regulovaný subjekt povinnost zaslat i závěrečnou zprávu o vzniklém incidentu.
Závěr
V případě bezpečnostního incidentu a odmítnutí spolupráce s orgánem dozoru, popř. při nedodržení opatření k řízení bezpečnostních rizik, mohou být regulovaným subjektům uloženy vysoké sankce. Osobám v kategorii „základní subjekt“ mohou být za porušení vybraných povinností uloženy správní pokuty ve výši 10 000 000 eur nebo 2 % celkového celosvětového ročního obratu a osobám v kategorii „důležitý subjekt“ mohou být uloženy správní pokuty ve výši 7 000 000 eur nebo 1,4 % celkového celosvětového ročního obratu (vždy podle toho, co je vyšší). K implementaci směrnice do vnitrostátních právních předpisů by mělo dojít nejpozději v říjnu roku 2024.
JUDr. Jiří Matzner, Ph.D., LLM. Autor článku je zakladatelem advokátní kanceláře MATZNER Legal. |