V lednu 2023 nabyla účinnosti nejen směrnice NIS2, o níž již bylo napsáno mnohé, ale též takzvaná směrnice CER. Obě dvě směrnice představují vzájemně se doplňující předpisy, jejichž cílem je zajištění vysoké úrovně kybernetické bezpečnosti a zvýšení odolnosti kritických subjektů proti online i offline hrozbám a kybernetickým útokům v Evropské unii.

Směrnice CER (směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů) nahrazuje směrnici o evropské kritické infrastruktuře z roku 2008 (směrnice Rady 2008/114/ES) a nová pravidla, která zavádí, mají posílit odolnost kritické infrastruktury vůči řadě hrozeb, včetně přírodních rizik, teroristických útoků, hybridních či vnitřních hrozeb nebo sabotáží.

V souladu se směrnicí CER budou členské státy povinny přijmout opatření pro zajištění neomezeného poskytování nejdůležitějších služeb a činností (ať již společenských či hospodářských). S tímto je spojena i povinnost určit tzv. kritické subjekty (tj. subjekty náležející do některé z kategorií uvedených v příloze směrnice CER) a podporovat tyto kritické subjekty při plnění povinností, které jim byly uloženy. Směrnice pak také mimo jiné stanoví bližší pravidla pro dohled nad kritickými subjekty, pravidla pro vymáhání povinností či určení kritických subjektů zvláštního evropského významu (v krátkosti jde o kritický subjekt, který poskytuje stejné nebo podobné základní služby v šesti nebo více členských státech nebo do těchto států).

Jak je již zmíněno výše, členské státy budou muset do 17. července 2026 určit kritické subjekty pro odvětví a pododvětví stanovené ve směrnici CER. Směrnice CER ve své příloze stanovuje dispozitivní výčet sektorů a služeb, které jsou klíčové pro zachování životně důležitých společenských funkcí, ekonomických činností, veřejného zdraví a bezpečnosti nebo životního prostředí – jde o následujících jedenáct odvětví (dále dělených na pododvětví a kategorie subjektů):

  • energetika (elektřina, dálkové vytápění a chlazení, ropa, zemní plyn, vodík) – se službami, jako je výroba elektřiny, skladování a distribuce energie;
  • doprava (letecká, železniční, vodní, silniční, veřejná) – se službami, jako je například správa a údržba letištní nebo železniční infrastruktury;
  • bankovnictví (úvěrové instituce);
  • infrastruktura finančních trhů (provozovatelé obchodních systémů a ústřední protistrany);
  • zdraví (poskytování zdravotní péče, referenční laboratoře, výzkum a vývoj léčivých přípravků, výroba kriticky důležitých zdravotních prostředků, distribuce);
  • pitná voda (doprava a distribuce pitné vody);
  • odpadní voda (shromažďování, čištění a likvidace odpadních vod);
  • digitální infrastruktura – se službami, jako je např. poskytování a provozování služby internetového výměnného bodu, systém doménových jmen, doména nejvyšší úrovně, cloud computing a datová centra;
  • veřejná správa;
  • vesmír (provozování pozemních infrastrukturních služeb);
  • výroba, zpracování a distribuce potravin.

Při určování kritických subjektů členský stát vyjde z uvedeného seznamu základních sektorů a služeb a dále posoudí, zda na území tohoto státu subjekt působí a nachází se tam jeho kritická infrastruktura, a jaký potenciální význam může mít dopad případného incidentu na poskytování jedné či více základních služeb. Význam dopadu se posuzuje v návaznosti na stanovená kritéria, jako je například počet uživatelů či zásadních odvětví závislých na dané základní službě, možný dopad (i územní) případného incidentu, tržní podíl subjektu na trhu s dotčenou základní službou nebo i důležitost subjektu.

Seznam služeb členské státy využijí i pro účely provedení posouzení rizik daného státu, při němž posoudí všechna relevantní přírodní a člověkem způsobená rizika, včetně rizik meziodvětvové nebo přeshraniční povahy, havárií, přírodních katastrof, mimořádných událostí v oblasti veřejného zdraví a hybridních hrozeb či jiných antagonistických hrozeb, včetně teroristických trestných činů. Toto hodnocení provedou do 17. ledna 2026 a následně dle potřeby alespoň každé 4 roky. Vedle hodnocení rizik budou členské státy do stejného data povinny přijmout strategii týkající se odolnosti kritických subjektů stanovující strategické cíle a opatření k dosažení vysoké úrovně odolnosti kritických subjektů.

Jakmile dojde k identifikaci kritických subjektů, budou o tomto dotčené kritické subjekty informovány a následně budou tyto subjekty povinny provést posouzení rizik a přijmout vhodná a přiměřená technická, bezpečnostní a organizační opatření k zajištění jejich odolnosti.

Tato opatření ke zvýšení odolnosti kritických subjektů mají spočívat zejména v:

  • předcházení vzniku incidentů;
  • zajištění přiměřené fyzické ochrany prostor a kritické infrastruktury, přičemž řádně zváží například oplocení, zábrany, nástroje a postupy pro monitorování hranic objektu, detekční zařízení a kontroly přístupu;
  • zajištění odezvy na incidenty, odolávání a zmírňování důsledků incidentů;
  • zotavení se z incidentů, včetně zajištění kontinuity činnosti a určení alternativních dodavatelských řetězců s cílem obnovit poskytování základní služby;
  • zajištění přiměřeného řízení bezpečnosti zaměstnanců (vč. pracovníků externích poskytovatelů služeb);
  • zvyšování povědomí a odborné přípravy příslušných pracovníků o opatřeních ke zvýšení odolnosti.

Uvedená opatření již mnoho dotčených subjektů v nějaké míře uplatňuje již nyní. I tak lze přepokládat, že se jich zamýšlená opatření dotknou přinejmenším v oblasti nárůstu administrativy.

Směrnice CER samozřejmě musí být promítnuta i do právních řádů jednotlivých členských států EU, a to konkrétně do 17. října 2024. V českém právním rámci na přípravě nového zákona o kritické infrastruktuře pracuje Ministerstvo vnitra a lze očekávat, že zvyšování odolnosti kritických subjektů by mělo být součástí krizového řízení. Předpokládat lze také to, že v návaznosti na směrnici CER se připravovaný zákon bude na jedné straně zaměřovat na stanovení pravomoci a působnosti státních orgánů (zejména Ministerstva vnitra jako předpokládaného centrálního orgánu státní správy pro oblast zvyšování odolnosti kritické infrastruktury), tak i určení kritických subjektů a povinností těchto subjektů (a poskytovatelů základních služeb) na straně druhé.

Návrh zákona dosud nebyl představen, avšak lze tak očekávat v blízké době, a to i s ohledem na krátící se lhůtu pro implementaci směrnice CER. Legislativní situaci průběžně sledujeme a o vývoji vás budeme informovat v dalších článcích. Pokud se chcete více dozvědět o kybernetické bezpečnosti, můžete se podívat zde: Cyber Security Compliance.

 

Článek vyšel také na INFO.CZ.

Mohlo by vás zajímat