Na úrovni Evropské unie je nyní připravován návrh nové směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (dále jen „Směrnice NIS2“).
Momentálně probíhá finalizace textu návrhu Směrnice NIS2, jehož předpokládaná publikace v Úředním věstníku Evropské unie je stanovena na konec roku 2022. Transpoziční lhůta je pro členské státy stanovena na 21 měsíců, pravděpodobně by tedy měla skončit v polovině roku 2024.
Účel Směrnice NIS2 a česká právní úprava
Směrnice NIS2 má prohloubit rámec, který zakotvila Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016, o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii.
V České republice je tato oblast momentálně upravena zákonem č. 181/2014 Sb. o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů (dále jen „Zákon o kybernetické bezpečnosti“), který by měl být na základě Směrnice NIS2 v rámci transpozice novelizován tak, aby splňoval její požadavky.
Směrnice NIS2 má být zavedena zejména k vyřešení nedostatečné míry kybernetického zabezpečení podniků a institucí působících v Evropské unii a také k vyrovnání rozdílů mezi jednotlivými členskými státy.
Mezi nejvýznamnější změny, které má přinést, patří:
- rozšíření okruhu subjektů, na které regulace dopadá, a
- zavedení nových povinností formou bezpečnostních opatření, které musí subjekty v oblasti kybernetické bezpečnosti dodržovat.
Povinné subjekty
Návrh Směrnice NIS2 obsahuje ve svých přílohách výčet odvětví, která jsou důležitá pro fungování společnosti. Odvětví jsou rozdělena podle toho, v jaké příloze Směrnice NIS2 jsou obsažena, a to na odvětví zásadní („essential“), kam bude spadat například energetika, doprava, bankovnictví, zdravotnictví a výroba farmaceutických výrobků, digitální infrastruktura, veřejná správa, a na důležitá odvětví („important“) mezi které bude patřit například potravinářství, nakládání s odpady, poštovní a kurýrní služba a výroba jiných zdravotnických prostředků, počítačů a elektroniky, strojního zařízení a motorových vozidel.
Soukromé či veřejné organizace budou spadat pod regulaci Směrnice NIS2 v případě, že budou splněny obě následující podmínky: (i) organizace bude poskytovat alespoň jednu službu uvedenou v přílohách Směrnice NIS2, a zároveň (ii) bude středním nebo velkým podnikem.
Definice středního a velkého podniku je stanovena v Doporučení Komise 2003/361/ES z 6. května 2003 jedná se o podniky, které zaměstnávají 50 a více zaměstnanců, nebo dosahují ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů EUR. Při posuzování velikosti podniků je nutné také přihlédnout k údajům partnerských a propojených podniků.
V případě některých určených odvětví budou však na základě Směrnice NIS2 regulovány všechny podniky bez ohledu na jejich velikost. Bude se jednat o podniky poskytující služby v oblasti elektronických komunikací nebo o poskytovatele služeb vytvářejících důvěru. Návrh Směrnice NIS2 také stanoví, že automaticky budou jako povinné subjekty označeny všechny povinné osoby podle Směrnice Evropského Parlamentu a Rady o posílení odolnosti kritických subjektů.
Povinné subjekty mají být na základě své velikosti a odvětví ve kterém figurují také rozdělovány na subjekty základní a důležité. Pro každou z těchto kategorií budou vyplývat na základě Směrnice NIS2 rozdílné povinnosti. Do skupiny základních subjektů budou spadat velké podniky působící v základních odvětvích (uvedených v příloze č. 1 Směrnice NIS2). Střední podniky poskytující služby uvedené v příloze č. 1 Směrnice NIS 2 a střední i velké podniky poskytující služby uvedené v příloze č. 2 Směrnice NIS2 (tedy služby spadající do důležitých odvětví) budou důležité subjekty. Z těchto pravidel však budou stanoveny výjimky, kdy některé podniky budou základními bez ohledu na jejich velikost.
Bezpečnostní opatření
Podstatou povinností, které má Směrnice NIS2 zavádět, je to, aby subjekty, na které bude regulace dopadat, prováděly vlastní posouzení rizik a zaváděly preventivní kroky k posílení své kybernetické bezpečnosti.
Oproti předchozí právní úpravě návrh Směrnice NIS2 detailněji vymezuje okruhy bezpečnostních opatření, které budou muset zavádět základní i důležité subjekty. Za schválení, zavedení a provádění bezpečnostních opatření bude odpovědné vedení povinných subjektů. Mezi povinnosti, které budou zavedeny, bude patřit i nutnost vedení absolvovat školení na téma kybernetické bezpečnosti a povinnost vytvořit prostředí, které bude podporovat v účasti na takových školeních i zaměstnance jejich organizace.
Rozdíly pro základní a důležité subjekty se budou projevovat přísnější formou povinností pro základní subjekty.
Mezi okruhy bezpečnostních opatření stanovené Směrnicí NIS2 budou spadat:
- analýza rizik a politiky bezpečnosti informací;
- řešení incidentů, jejich prevence, odhalování a případná reakce;
- kontinuita činností a krizové řízení;
- bezpečnost v rámci dodavatelského řetězce, včetně bezpečnosti ve vztazích mezi subjektem a jeho dodavateli a poskytovateli služeb;
- bezpečnost v rámci pořízení, vývoje a údržby sítě a informačních systémů, včetně zveřejňování informací o zranitelnostech a jejich řešení;
- politiky a postupy pro hodnocení účinnosti bezpečnostních opatření v oblasti kybernetické bezpečnosti (tj. audit);
- praktiky základní počítačové hygieny a vzdělávání v oblasti kybernetické bezpečnosti;
- politiky a postupy týkající se využívání kryptografie a šifrování;
- bezpečnost lidských zdrojů, řízení přístupů a aktiv;
- využívání více faktorového ověření identity, bezpečných komunikačních nástrojů a nástrojů pro nouzovou komunikaci.
Incidenty a jejich hlášení
Jedním z nejdůležitějších bezpečnostních opatření, které má být zavedeno, bude prevence incidentů, jejich odhalování a následné řešení způsobené situace. Kybernetický bezpečnostní incident nastane, pokud bude narušena bezpečnost informací související s regulovanou službou. Bude se jednat o jakoukoliv událost, která bude ohrožovat důvěrnost, dostupnost, integritu a autenticitu uložených, přenášených nebo zpracovávaných dat nebo služeb.
Incidenty mohou nastat i při řádném dodržování povinností subjekty a zavedení opatření k jejich předcházení. Základní i důležité subjekty budou mít povinnost ohlašovat incidenty s významným dopadem. Předpokladem pro to, aby se jednalo o incident s významným dopadem bude, že (i) incident způsobil či může způsobit vážné provozní narušení služby nebo finanční ztráty pro dotčený subjekt, nebo (ii) incident ovlivnil nebo může ovlivnit jiné fyzické nebo právnické osoby či způsobuje značné materiální i nemateriální ztráty. Zároveň může být incidentem s významným dopadem i tzv. rozsáhlý kybernetický incident, na který členský stát není schopen reagovat, nebo který má významný dopad na nejméně dva členské státy.
Subjekty budou mít povinnost hlásit výše popsané incidenty stanovenému týmu CERT, resp. CSIRT, a to bez zbytečného odkladu (nejpozději do 24 hodin) od jeho zjištění. Mezi náležitosti hlášení bude spadat uvedení základních známých údajů, například zda byl incident způsoben nezákonným jednáním či zda má přeshraniční dopad. Následně by mělo dojít k zpřesnění informací a jejich případnému dalšímu doplnění na základě žádosti týmu CERT. Po vyřešení incidentu (zpravidla do jednoho měsíce od nahlášení) bude nutné také zaslat týmu CERT finální hlášení s důvody způsobení incidentu a se shrnutím přijatých opatření pro zamezení opakování takové situace.
Pro přehlednou komunikaci a unifikaci hlášení incidentů plánuje Národní úřad pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) vytvořit v České republice jednotnou platformu, pro registraci povinných subjektů, hlášení incidentů a komunikaci s NÚKIB a případně s dalšími relevantními úřady.
Kontrola, sankce a donucovací prostředky
Členské státy budou mít na základě Směrnice NIS2 povinnost zajistit zavedení účinných a přiměřených opatření dohledu včetně prosazování spolupráce mezi dozorovými orgány.
Mezi pravomoci dozorových úřadů při výkonu kontroly bude spadat například (i) vydávání závazných pokynů a příkazů k nápravě nedostatků, (ii) nařízení úpravy chování pro zajištění souladu se zákonnými povinnostmi, (iii) nařízení úpravy bezpečnostních opatření v souladu s požadavky Směrnice NIS2 a (iv) ukládání správních pokut.
Zároveň pokud se subjekty nebudou řídit pokyny dozorových úřadů a ve stanovené lhůtě nesplní jejich požadavky, budou uděleny sankce. V rámci sankcí a donucovacích prostředků Směrnice NIS2 přinese pouze několik změn, ale v zásadě bude pokračováno v již zavedených a nyní platných kontrolních mechanismech.
Do kontrolních a donucovacích prostředků budou spadat zejména kontroly na místě, bezpečnostní audity, žádosti o informace či zpřístupnění dat nebo doložení zavedení bezpečnostních politik. V případě neúspěšnosti těchto prostředků bude možné u základních subjektů (pokud je to proporcionální) dočasně pozastavit certifikace či licence umožňující subjektu vykonávat regulovanou službu, případně požadovat soudní rozhodnutí, kterým bude konkrétní fyzické osobě v řídící pozici zabráněno dočasně vykonávat řídící funkce v regulovaném subjektu.
Návrh Směrnice NIS2 stanoví také maximální výši pokut. Pro základní subjekty bude horní hranice pokut stanovena na 10 milionů EUR nebo 2 % ze světového obratu (podle toho která částka je vyšší), v případě důležitých subjektů bude horní hranice pokut stanovena na 7 milionů EUR nebo 1,4 % ze světového obratu.
Závěr
Směrnice NIS2 by měla prostřednictvím připravovaných výše popsaných změn prohloubit zvýšení kybernetické bezpečnosti v členských státech a rozvinout národní a mezinárodní spolupráci v této oblasti.
Závěry popsané v tomto článku vychází z aktuální podoby návrhu Směrnice NIS2, na kterém byla v rámci unijního legislativního procesu nalezena předběžná shoda, je však možné, že v některých částech bude text ještě upraven.
Transpoziční lhůta pro členské státy je stanovena na 21 měsíců od publikace v Úředním věstníku Evropské unie, pravděpodobně by tedy měla skončit v polovině roku 2024 a do té doby by mělo dojít v České republice k novelizaci Zákona o kybernetické bezpečnosti a dalších relevantních předpisů.
NÚKIB za účelem osvěty spustil webové stránky ke Směrnici NIS2 – nis2.nukib.cz.
V případě, že byste měli ohledně připravované směrnice o kybernetické bezpečnosti jakékoli dotazy, jsme Vám plně k dispozici.
Mgr. Kateřina Roučková, advokátní koncipientka – rouckova@plegal.cz
Mgr. Jakub Málek, managing partner – malek@plegal.cz
21. 11. 2022