Směrnice NIS 2 a zákon o kybernetické bezpečnosti

Rok 2023 lze bez nadsázky nazvat dalším velkým rokem pro kybernetickou bezpečnost. 16. ledna 2023 nabyla účinnosti nová kyberbezpečnostní směrnice NIS2, která zásadně rozšiřuje počet subjektů, kteří budou muset splňovat různé kyberbezpečností povinnosti, jako je hlášení kyberbezpečnostních incident či zabezpečení dodavatelského řetězce.

Dle předběžných odhadů se nové povinnosti budou vztahovat na vice než 6 000 povinných subjektů!

Směrnice NIS 2 bude do Českého právního řádu implementována prostřednictvím nového zákona o kybernetické bezpečnosti. Tento zákon je v současné chvíli projednáván v rámci legislativního procesu. Jeho přijetí a následnou účinnost lze očekávat koncem roku 2024. Pokud vás zajímá, zda vaše organizace bude muset splňovat nové kyberbezpečnostní povinnosti, pusťte si naše edukativní videa nebo se na nás obraťte a rádi vám zodpovíme vaše dotazy.

Spojte se s námi

Nevíte, kam spadá Váš případ, nebo jste jej nenašli na našich webových stránkách? Kontaktujte nás a my vymyslíme, jak Vám můžeme pomoct.

Proč by vás měla směrnice NIS 2 zajímat?

Protože právní úprava, kterou přináší dopadne na velké množství subjektů, které dosud nebyly povinny zabezpečovat své systémy v souladu se zákonem o kybernetické bezpečnosti, a rozhodně se ji nevyplatí ignorovat – sankce, které na základě implementované směrnice bude možno ukládat, budou značné.

Co je směrnice NIS 2?

Směrnice NIS 2 je směrnice Evropského parlamentu a Rady EU, jejímž úkolem je zajistit vysokou úroveň kybernetické bezpečnosti napříč jednotlivými členskými státy Evropské unie. Směrnice NIS 2 navazuje na předchozí směrnici NIS a prohlubuje legislativní rámec kybernetické bezpečnosti.

Cílem NIS 2 je:

  • rozšíření oblasti působnosti aktuálně platné a účinné směrnice NIS s ohledem na rychlou digitální transformaci společnosti,
  • zlepšení odolnosti a schopnosti veřejných i soukromých subjektů a EU jako celku reagovat na incidenty v oblasti kybernetické bezpečnosti,
  • zlepšení kybernetické bezpečnosti v EU a její sjednocení napříč EU.

Návrh směrnice NIS 2 mají doplnit také nová směrnice o posílení odolnosti kritických subjektů (směrnice CER) a nařízení o digitální provozní odolnosti finančního sektoru (nařízení DORA).

Jaký je rozdíl mezi směrnicí NIS a NIS 2?

Nadále platná směrnice NIS z roku 2016 byla prvním krokem v regulaci kybernetické bezpečnosti. Směrnice NIS 2 má na původní směrnici navázat a dále rozšířit povinnosti dotčených subjektů. Změny, které směrnice NIS 2 přináší budou mít vliv jak na úrovni státní a unijní (zejména v oblasti povinností kladených na příslušné státní a unijní orgány), tak na úrovni subjektů směrnicí NIS 2 regulovaných.

Z hlediska regulovaných subjektů nejdůležitější změnu představuje rozšíření počtu subjektů, na které se bude směrnice NIS 2 oproti směrnici NIS vztahovat jimž vzniknou nové povinnosti, nicméně změny nastanou i ve zvýšení sankcí či zavedení povinnosti vzdělávat členy povinných organizací.

Kdy vstoupí směrnice NIS 2 v platnost?

Směrnice byla publikována v Úředním věstníku EU 27. prosince 2022 a v platnost vstoupila 16. ledna 2023. Transpoziční lhůta pro členské státy činí 21 měsíců. Dá se tak předpokládat, že v druhé polovině roku 2024 nabude směrnice přímého účinku.

Kdo jsou povinné subjekty?

Povinné subjekty směrnice NIS 2 rozděluje primárně do dvou kategorií, a to s ohledem na jejich velikost a předmět činnosti.

V základu se tak subjekty či entity dělí na “essential” (“základní”) a “important” (“důležité”), a to v návaznosti na kritickou důležitost daného odvětví/služby a úroveň závislosti jiných odvětví/služeb na daném odvětví. Z tohoto základní dělení však směrnice NIS 2 stanovuje výjimku zahrnující subjekty, na které se povinnosti vztahují bez ohledu na jejich velikost.

Nově směrnice NIS 2 přidává také kritérium velikosti subjektu, na jehož základě do působnosti NIS 2 budou zahrnuty:

  • všechny střední a velké podniky ve vybraných odvětvích dle NIS 2
  • malé podniky a mikropodniky spadající pod čl. 2 odst. 2 návrhu směrnice NIS 2 zejm. subjekty plnící klíčovou úlohu pro hospodářství či společnost, nebo pro konkrétní odvětví či druhy služeb (např. veřejné sítě elektronických komunikací, orgány veřejné správy apod.)

Jaká jsou kritéria pro určení velikosti podniku?

Velikost podniku pro účely NIS 2 bude posuzována ve smyslu doporučení Komise 2003/361/ES, které stanovuje kritéria pro určení velikosti podniku:

  • mikropodnik – má méně než 10 zaměstnanců a roční obrat (finanční částka získaná za určité období) nebo rozvahu (výkaz aktiv a pasiv společnosti) do 2.000.000 EUR,
  • malý podnik – má méně než 50 zaměstnanců a roční obrat nebo rozvahu do 10.000.000 EUR,
  • střední podnik – má méně než 250 zaměstnanců a roční obrat do 50.000.000 milionů EUR nebo rozvahu do 43.000.000 EUR.

Pozornost je v této souvislosti zapotřebí věnovat i kategoriím tzv. propojených a partnerských podniků.

Kdo je základním (“essential”) subjektem?

Základní (“essential”) subjekty, jsou v první řadě ty subjekty, které velikostně překročí hranici středního podniku a současně spadají do odvětví uvedeného v Příloze I. směrnice NIS 2. Jedná o následující odvětví:

  • energetika (elektřina, ropa, zemní plyn)
  • doprava (letecká, železniční, vodní, silniční)
  • bankovnictví (úvěrové instituce)
  • infrastruktura finančních trhů
  • zdravotnictví (zdravotnická zařízení, včetně nemocnic a soukromých klinik)
  • pitná voda (dodavatelé a distributoři)
  • odpadní voda
  • digitální infrastruktura (např. výměnné uzly internetu (IXP), poskytovatelé služeb systému doménových jmen (DNS), registry internetových domén nejvyšší úrovně (TLD), poskytovatelé služeb cloud computingu, poskytovatelé veřejných sítí elektronických komunikacím poskytovatelé služeb datových center, poskytovatelé sítí pro doručování obsahu, poskytovatelé služeb vytvářejících důvěru)
  • řízení ICT služeb (B2B; MSP, MSSP)
  • subjekty veřejné správy s výjimkou soudnictví, parlamentů a centrálních bank
  • vesmír (provozovatelé pozemní infrastruktury)

Vedle subjektů splňujících výše uvedená kritéria mají být do skupiny základních subjektů řazeny i další výslovně uvedené subjekty:

  • kvalifikovaní poskytovatelé důvěryhodných služeb a registry názvů domén nejvyšší úrovně a také poskytovatelé služeb DNS bez ohledu na jejich velikost;
  • poskytovatelé veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací uvedených v bodě 8 Přílohy I. směrnice NIS 2, kteří naplňují kritéria pro střední podniky;
  • subjekty veřejné správy uvedené v čl. 2 odst. 2a prvním pododstavci směrnice NIS 2 (subjekty veřejné správy ústředních vlád, jakož i správní subjekty na regionální úrovni, jak je definují členské státy v souladu s vnitrostátním právem);
  • jakékoli další subjekty z odvětví uvedeného v Příloze I. či Příloze II. směrnice NIS 2 zřízené členským státem na základě vnitrostátního posouzení rizik podle kritérií stanovených v čl. 2 odst. 2 písm. c) až f) směrnice NIS 2.

Vedle subjektů splňujících výše uvedená kritéria mají být do skupiny základních subjektů řazeny i další výslovně uvedené subjekty:

  • kvalifikovaní poskytovatelé důvěryhodných služeb a registry názvů domén nejvyšší úrovně a také poskytovatelé služeb DNS bez ohledu na jejich velikost;
  • poskytovatelé veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací uvedených v bodě 8 Přílohy I. směrnice NIS 2, kteří naplňují kritéria pro střední podniky;
  • subjekty veřejné správy uvedené v čl. 2 odst. 2a prvním pododstavci směrnice NIS 2 (subjekty veřejné správy ústředních vlád, jakož i správní subjekty na regionální úrovni, jak je definují členské státy v souladu s vnitrostátním právem);
  • jakékoli další subjekty z odvětví uvedeného v Příloze I. či Příloze II. směrnice NIS 2 zřízené členským státem na základě vnitrostátního posouzení rizik podle kritérií stanovených v čl. 2 odst. 2 písm. c) až f) směrnice NIS 2.

Kdo je důležitým (“important”) subjektem?

Pro účely směrnice NIS 2 se do kategorie důležitých (“important”) subjektů řadí všechny subjekty spadající do odvětví uvedených v Přílohách I a II směrnice NIS 2, které však nesplňují kritéria pro základní subjekty. Jsou sem řazeny i subjekty určené členskými státy na základě čl. 2 odst. 2 písm. c) až f) směrnice NIS 2.

V první řadě tedy budou za základní subjekty považovány podniky alespoň střední velikosti, které působí v důležitých odvětvích uvedených v Příloze II směrnice NIS 2. Mezi důležitá odvětví patří: 

  • Poštovní a kurýrní služby
  • Nakládání s odpady
  • Výroba, produkce a distribuce chemických látek
  • Výroba, zpracování a distribuce potravin
  • Výroba
  • Digitální poskytovatelé
  • Výzkum

Mohou se sem ale řadit například také podniky, které nedosahují velikosti středního podniku, ale působí v odvětvích uvedených v Příloze I směrnice NIS 2 (blíže viz “Kdo je základním subjektem?”).

Jaké povinnosti ukládá směrnice NIS 2 členským státům?

Vzhledem k povaze směrnice jakožto normativního právního aktu ukládajícího povinnost členským státům regulovat určitou problematiku bez stanovení konkrétních prostředků, určuje i směrnice NIS 2 oblasti, které mají členské státy povinnost obsáhnout ve svých vnitrostátních předpisech a připravit tak legislativní podklad pro účinné vymáhání daného právního předpisu.

Jaké povinnosti přináší směrnice NIS 2 povinným subjektům?

Primární úlohou směrnice je přimět dotčené subjekty k zavádění preventivních opatření pro zajištění a posílení kybernetické bezpečnosti, tj. aby zejména přijaly vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro poskytování svých služeb.

Bezpečnostní opatření uvedená výše mají zahrnovat alespoň:

  1. analýzu rizik a politiku bezpečnosti informačních systémů;
  2. zvládání incidentů;
  3. kontinuita činností (tj. business kontinuita), včetně zálohování, zotavení (disaster recovery) a krizové řízení;
  4. zabezpečení dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho přímými dodavateli nebo poskytovateli služeb;
  5. zabezpečení pořizování, vývoje a údržby sítě a informačních systémů, včetně zveřejňování informací o zranitelnostech a jejich řešení;
  6. politiky a postupy za účelem posouzení účelnosti opatření k řízení rizik v oblasti kybernetické bezpečnosti;
  7. základní postupy počítačové hygieny a školení v oblasti kybernetické bezpečnosti;
  8. zásady a postupy týkající se používání kryptografie a případně šifrování;
  9. bezpečnost lidských zdrojů, zásady kontroly přístupu a správa aktiv;
  10. případně použití vícefaktorového ověřování nebo řešení průběžného ověřování, zabezpečené hlasové, video a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu.

Na rozdíl od relativně obecných formulací uvedených v původní směrnici NIS, směrnice NIS 2 jednotlivé povinnosti konkretizuje. Vedení dotčených organizací je tak povinno schvalovat a zavádět bezpečnostní opatření. Tato povinnost zároveň zahrnuje i nutnost pravidelných školení jak na úrovni vrcholného managementu tak i řadových zaměstnanců.

Co se rozumí incidentem ve smyslu směrnice NIS 2?

Incidentem se dle směrnice NIS 2 rozumí se jakákoli událost ohrožující dostupnost, autenticitu, integritu nebo důvěrnost uložených, přenášených nebo zpracovávaných údajů nebo služeb nabízených nebo přístupných prostřednictvím sítí a informačních systémů.

Co je to významný incident a rozsáhlý kybernetický incident?

Směrnice dává organizacím vodítka pro rozpoznání incidentu mající významný dopad na kybernetickou bezpečnost. Nicméně konkretizace kritérií bude v gesci jednotlivých členských států, jelikož směrnice stanovuje aspekty, kdy je incident považován za významný relativně obecně:

  1. incident způsobil nebo může způsobit vážné provozní narušení služeb nebo finanční ztráty pro dotčený subjekt;
  2. incident způsobil nebo může způsobit jiným fyzickým nebo právnickým osobám značnou materiální nebo nehmotnou újmu. 

Naproti tomu rozsáhlým kybernetický bezpečnostním incidentem se rozumím incident, jehož narušení překračuje schopnost členského státu na něj reagovat nebo má významný dopad alespoň na dva členské státy.

Jaké povinnosti mají dotčené subjekty, dojde-li k významnému incidentu?

Z logiky věci je hlavní povinností organizace, dojde-li k incidentu, si s tímto incidentem úspěšně poradit. Kromě zvládnutí incidentu však směrnice NIS 2 ukládá dotčeným subjektům povinnost některé incidenty oznámit příslušným orgánům.

Základní a důležité subjekty mají povinnost bez zbytečného odkladu oznámit CSIRT nebo případně příslušnému orgánu jakýkoli incident, který má významný dopad na poskytování jejich služeb (prvotní oznámení má proběhnout neprodleně, nejpozději však do 24 hodin po zjištění incidentu). V případě, že incident pravděpodobně nepříznivě ovlivní poskytování služby dotčeným subjektem, je tento povinen bez zbytečného prodlení informovat o incidentu příjemce jeho služeb. Dotčené subjekty ohlásí mimo jiné veškeré informace umožňující CSIRT a příslušnému orgánu určit jakýkoli přeshraniční dopad incidentu.

Jaký má být postup oznámení významného incidentu?

Dotčený subjekt by v případě incidentu měl v první řadě bez zbytečného odkladu a v každém případě do 24 hodin poté, co se o incidentu dozvěděl, podat příslušnému orgánu nebo CSIRT včasné varování (prvotní oznámení), v němž bude případně uvedeno, zda je významný incident pravděpodobně způsoben nezákonným nebo zlomyslným jednáním nebo by mohl mít křížový hraniční dopad.

Dále, bez zbytečného prodlení a v každém případě do 72 hodin poté, co se o incidentu dozvěděl, podá dotčený subjekt oznámení o incidentu, které případně aktualizuje informace uvedené ve včasném varování a uvede prvotní posouzení incidentu, jeho závažnost a dopad a také ukazatele kompromisu, pokud jsou k dispozici.

Dotčený subjekt může být ze strany CSIRT nebo případně příslušného orgánu požádán o vyhotovení průběžné zprávy o příslušných aktualizacích stavu.

Na závěr – nejpozději jeden měsíc po předložení oznámení o incidentu – dotčený subjekt vyhotoví závěrečnou zprávu, která bude obsahovat alespoň tyto údaje:

  • podrobný popis incidentu, jeho závažnost a dopad;
  • typ hrozby nebo hlavní příčinu, která pravděpodobně spustila incident;
  • uplatněná a probíhající zmírňující opatření;
  • případně přeshraniční dopad incidentu.

V případě probíhajících incidentů v době předložení závěrečné zprávy musí být ze strany členských států zajištěno, aby dotčené subjekty v uvedené lhůtě zpracovaly zprávu o pokroku a závěrečnou zprávu následně vyhotovily do jednoho měsíce po incidentu.

Jak incident oznámit?

Směrnice NIS 2 ukládá členským státům povinnost, co nejvíce ulehčit povinným subjektům proces hlášení incidentů, registraci a obecně komunikaci s příslušnými úřady.

V České republice je příslušným orgánem NÚKIB (Národní Úřad pro Kybernetickou a Informační Bezpečnost), který má podle dostupných informací v plánu vytvořit jednotný systém, prostřednictvím něhož budou mít subjekty možnost nahlašovat incidenty a obecně s NÚKIBem komunikovat.

Dále, bez zbytečného prodlení a v každém případě do 72 hodin poté, co se o incidentu dozvěděl, podá dotčený subjekt oznámení o incidentu, které případně aktualizuje informace uvedené ve včasném varování a uvede počáteční posouzení incidentu, jeho závažnost a dopad a také ukazatele kompromisu, pokud jsou k dispozici.

Dotčený subjekt může být ze strany CSIRT nebo případně příslušného orgánu požádán o vyhotovení průběžné zprávy o příslušných aktualizacích stavu.

Na závěr – nejpozději jeden měsíc po předložení oznámení o incidentu – dotčený subjekt vyhotoví závěrečnou zprávu, která bude obsahovat alespoň tyto údaje:

  • podrobný popis incidentu, jeho závažnost a dopad;
  • typ hrozby nebo hlavní příčinu, která pravděpodobně spustila incident;
  • uplatněná a probíhající zmírňující opatření;
  • případně přeshraniční dopad incidentu.

V případě probíhajících incidentů v době předložení závěrečné zprávy musí být ze strany členských států zajištěno, aby dotčené subjekty v uvedené lhůtě zpracovaly zprávu o pokroku a závěrečnou zprávu následně vyhotovily do jednoho měsíce po incidentu.

Jakým způsobem se bude plnění povinností vymáhat?

Směrnice NIS 2 dává příslušným orgánům v daném členském státě širokou paletu pravomocí pro kontrolu dodržování povinností dotčenými subjekty.

Kromě žádostí o poskytnutí informací, zpřístupnění dat nebo doložení dodržování bezpečnostních politik, může příslušný dozorový orgán provádět bezpečnostní audity či kontroly, a to jak dálkové, tak i přímo na místě u dotčeného subjektu. V průběhu kontroly může orgán vydávat celou škálu různých opatření od závazných pokynů, přes nařízení o provedení konkrétních doporučení, až po uložení sankcí za nedodržení povinností.

Jaké sankce může kontrolní orgán uložit dle směrnice NIS 2?

Ukládání sankcí obecně musí být v souladu s principy demokratického právního státu, tudíž by úřad měl postupovat s ohledem na zásadu proporcionality a při ukládání sankcí posuzovat konkrétní skutkové okolnosti.

V závislosti na závažnost porušení povinností a další okolnosti se však výše peněžité sankce může vyšplhat až na 7 milionů EUR, respektive 1,4 % z celkového celosvětového ročního obratu u důležitých subjektů, a až na 10 milionů EUR, respektive 2 % z celkového celosvětového ročního obratu, u základních subjektů, podle toho, která z částek je vyšší.

Tým sekce

Kdo se vaším případem bude zabývat?