© Chrenek, Toman, Kotrba advokátní kancelář 2023
Rok 2023 lze bez nadsázky nazvat dalším velkým rokem pro kybernetickou bezpečnost. 16. ledna 2023 nabyla účinnosti nová kyberbezpečnostní směrnice směrnice NIS2, která zásadně rozšiřuje počet subjektů, kteří budou muset splňovat různé kyberbezpečností povinnosti, jako je hlášení kyberbezpečnostních incident či zabezpečení dodavatelského řetězce.
Dle předbežných odhadů se nové povinnosti budou vztahovat na vice než 6 000 povinných subjektů!
Směrnice NIS 2 bude do Českého právního řádu implementována prostřednictvím nového zákona o kybernetické bezpečnosti. Tento zákon je v současné chvíli projednáván v rámci legislativního procesu. Jeho přijetí a následnou účinnost lze očekávat koncem roku 2024. Pokud vás zajímá, zda vaše organizace bude muset splňovat nové kyberbezpečnostní povinnosti, pusťte si následující edukativní video nebo se na nás obraťte a rádi vám zodpovíme vaše dotazy.
Spojte se s námi a zjistěte co obnáší nová Směrnice NIS 2 právě pro Vaší firmu.
Protože právní úprava, kterou přináší dopadne na velké množství subjektů, které dosud nebyly povinny zabezpečovat své systémy v souladu se zákonem o kybernetické bezpečnosti, a rozhodně se ji nevyplatí ignorovat – sankce, které na základě implementované směrnice bude možno ukládat, budou značné.
Směrnice NIS 2 je směrnice Evropského
parlamentu a Rady EU, jejímž úkolem je zajistit vysokou úroveň kybernetické
bezpečnosti napříč jednotlivými členskými státy Evropské unie. Směrnice NIS 2
navazuje na předchozí směrnici NIS a prohlubuje legislativní rámec kybernetické
bezpečnosti.
Cílem NIS 2 je:
– rozšíření oblasti působnosti
aktuálně platné a účinné směrnice NIS s ohledem na rychlou digitální
transformaci společnosti,
– zlepšení odolnosti a schopnosti
veřejných i soukromých subjektů a EU jako celku reagovat na incidenty v oblasti
kybernetické bezpečnosti,
– zlepšení kybernetické bezpečnosti v
EU a její sjednocení napříč EU.
Návrh směrnice NIS 2 mají doplnit také
nová směrnice o posílení odolnosti kritických subjektů (směrnice CER) a
nařízení o digitální provozní odolnosti finančního sektoru (nařízení DORA).
Nadále platná směrnice NIS z roku 2016
byla prvním krokem v regulaci kybernetické bezpečnosti. Směrnice NIS 2 má na
původní směrnici navázat a dále rozšířit povinnosti dotčených subjektů. Změny,
které směrnice NIS 2 přináší budou mít vliv jak na úrovni státní a unijní
(zejména v oblasti povinností kladených na příslušné státní a unijní orgány),
tak na úrovni subjektů směrnicí NIS 2 regulovaných.
Z hlediska regulovaných subjektů
nejdůležitější změnu představuje rozšíření počtu subjektů, na které se bude
směrnice NIS 2 oproti směrnici NIS vztahovat jimž vzniknou nové povinnosti,
nicméně změny nastanou i ve zvýšení sankcí či zavedení povinnosti vzdělávat
členy povinných organizací.
Směrnice byla publikována v Úředním
věstníku EU 27. prosince 2022 a v platnost vstoupila 16. ledna 2023.
Transpoziční lhůta pro členské státy činí 21 měsíců. Dá se tak předpokládat, že
v druhé polovině roku 2024 nabude směrnice přímého účinku.
Povinné subjekty směrnice NIS 2
rozděluje primárně do dvou kategorií, a to s ohledem na jejich velikost a
předmět činnosti.
V základu se tak subjekty či entity dělí
na “essential” (“základní”) a “important” (“důležité”), a to v návaznosti na
kritickou důležitost daného odvětví/služby a úroveň závislosti jiných
odvětví/služeb na daném odvětví. Z tohoto základní dělení však směrnice NIS 2
stanovuje výjimku zahrnující subjekty, na které se povinnosti vztahují bez
ohledu na jejich velikost.
Nově směrnice NIS 2 přidává také kritérium
velikosti subjektu, na jehož základě do působnosti NIS 2 budou zahrnuty:
Velikost podniku pro účely NIS 2 bude
posuzována ve smyslu doporučení Komise 2003/361/ES, které stanovuje kritéria
pro určení velikosti podniku:
Pozornost je v této souvislosti
zapotřebí věnovat i kategoriím tzv. propojených a partnerských podniků.
Základní (“essential”) subjekty, jsou
v první řadě ty subjekty, které velikostně překročí hranici středního podniku a
současně spadají do odvětví uvedeného v Příloze I. směrnice NIS 2. Jedná o
následující odvětví:
Vedle subjektů splňujících výše
uvedená kritéria mají být do skupiny základních subjektů řazeny i další
výslovně uvedené subjekty:
Vedle subjektů splňujících výše uvedená kritéria mají být do skupiny základních subjektů řazeny i další výslovně uvedené subjekty:
Pro účely směrnice NIS 2 se do
kategorie důležitých (“important”) subjektů řadí všechny subjekty spadající do
odvětví uvedených v Přílohách I a II směrnice NIS 2, které však nesplňují
kritéria pro základní subjekty. Jsou sem řazeny i subjekty určené členskými
státy na základě čl. 2 odst. 2 písm. c) až f) směrnice NIS 2.
V první řadě tedy budou za základní subjekty považovány podniky alespoň střední velikosti, které působí v důležitých odvětvích uvedených v Příloze II směrnice NIS 2. Mezi důležitá odvětví patří:
Mohou se sem ale řadit například také
podniky, které nedosahují velikosti středního podniku, ale působí v odvětvích
uvedených v Příloze I směrnice NIS 2 (blíže viz “Kdo je základním subjektem?”).
Vzhledem k povaze směrnice jakožto
normativního právního aktu ukládajícího povinnost členským státům regulovat
určitou problematiku bez stanovení konkrétních prostředků, určuje i směrnice
NIS 2 oblasti, které mají členské státy povinnost obsáhnout ve svých vnitrostátních
předpisech a připravit tak legislativní podklad pro účinné vymáhání daného
právního předpisu.
Primární úlohou směrnice je přimět
dotčené subjekty k zavádění preventivních opatření pro zajištění a posílení
kybernetické bezpečnosti, tj. aby zejména přijaly vhodná a přiměřená technická
a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a
informační systémy, jež tyto subjekty používají pro poskytování svých služeb.
Bezpečnostní opatření uvedená výše
mají zahrnovat alespoň:
Na rozdíl od relativně obecných
formulací uvedených v původní směrnici NIS, směrnice NIS 2 jednotlivé
povinnosti konkretizuje. Vedení dotčených organizací je tak povinno schvalovat
a zavádět bezpečnostní opatření. Tato povinnost zároveň zahrnuje i nutnost
pravidelných školení jak na úrovni vrcholného managementu tak i řadových
zaměstnanců.
Incidentem se dle směrnice NIS 2
rozumí se jakákoli událost ohrožující dostupnost, autenticitu, integritu nebo
důvěrnost uložených, přenášených nebo zpracovávaných údajů nebo služeb
nabízených nebo přístupných prostřednictvím sítí a informačních systémů.
Směrnice dává organizacím vodítka pro
rozpoznání incidentu mající významný dopad na kybernetickou bezpečnost. Nicméně
konkretizace kritérií bude v gesci jednotlivých členských států, jelikož
směrnice stanovuje aspekty, kdy je incident považován za významný relativně
obecně:
Naproti tomu rozsáhlým kybernetický
bezpečnostním incidentem se rozumím incident, jehož narušení překračuje
schopnost členského státu na něj reagovat nebo má významný dopad alespoň na dva
členské státy.
Z logiky věci je hlavní povinností
organizace, dojde-li k incidentu, si s tímto incidentem úspěšně poradit. Kromě
zvládnutí incidentu však směrnice NIS 2 ukládá dotčeným subjektům povinnost
některé incidenty oznámit příslušným orgánům.
Základní a důležité subjekty mají
povinnost bez zbytečného odkladu oznámit CSIRT nebo případně příslušnému
orgánu jakýkoli incident, který má významný dopad na poskytování jejich služeb
(prvotní oznámení má proběhnout neprodleně, nejpozději však do 24 hodin po
zjištění incidentu). V případě, že incident pravděpodobně nepříznivě ovlivní
poskytování služby dotčeným subjektem, je tento povinen bez zbytečného prodlení
informovat o incidentu příjemce jeho služeb. Dotčené subjekty ohlásí mimo jiné
veškeré informace umožňující CSIRT a příslušnému orgánu určit jakýkoli
přeshraniční dopad incidentu.
Dotčený subjekt by v případě incidentu
měl v první řadě bez zbytečného odkladu a v každém případě do 24 hodin poté, co
se o incidentu dozvěděl, podat příslušnému orgánu nebo CSIRT včasné varování
(prvotní oznámení), v němž bude případně uvedeno, zda je významný incident
pravděpodobně způsoben nezákonným nebo zlomyslným jednáním nebo by mohl mít
křížový hraniční dopad.
Dále, bez zbytečného prodlení a v
každém případě do 72 hodin poté, co se o incidentu dozvěděl, podá dotčený
subjekt oznámení o incidentu, které případně aktualizuje informace uvedené
ve včasném varování a uvede prvotní posouzení incidentu, jeho závažnost a dopad
a také ukazatele kompromisu, pokud jsou k dispozici.
Dotčený subjekt může být ze strany
CSIRT nebo případně příslušného orgánu požádán o vyhotovení průběžné zprávy o
příslušných aktualizacích stavu.
Na závěr – nejpozději jeden měsíc po
předložení oznámení o incidentu – dotčený subjekt vyhotoví závěrečnou zprávu,
která bude obsahovat alespoň tyto údaje:
V případě probíhajících incidentů v
době předložení závěrečné zprávy musí být ze strany členských států zajištěno,
aby dotčené subjekty v uvedené lhůtě zpracovaly zprávu o pokroku a závěrečnou
zprávu následně vyhotovily do jednoho měsíce po incidentu.
Směrnice NIS 2 ukládá členským státům
povinnost, co nejvíce ulehčit povinným subjektům proces hlášení incidentů,
registraci a obecně komunikaci s příslušnými úřady.
V České republice je příslušným
orgánem NÚKIB (Národní Úřad pro Kybernetickou a Informační Bezpečnost), který
má podle dostupných informací v plánu vytvořit jednotný systém, prostřednictvím
něhož budou mít subjekty možnost nahlašovat incidenty a obecně s NÚKIBem
komunikovat.
Dále, bez zbytečného prodlení a v
každém případě do 72 hodin poté, co se o incidentu dozvěděl, podá dotčený
subjekt oznámení o incidentu, které případně aktualizuje informace uvedené
ve včasném varování a uvede počáteční posouzení incidentu, jeho závažnost a
dopad a také ukazatele kompromisu, pokud jsou k dispozici.
Dotčený subjekt může být ze strany
CSIRT nebo případně příslušného orgánu požádán o vyhotovení průběžné zprávy o
příslušných aktualizacích stavu.
Na závěr – nejpozději jeden měsíc po
předložení oznámení o incidentu – dotčený subjekt vyhotoví závěrečnou zprávu,
která bude obsahovat alespoň tyto údaje:
V případě probíhajících incidentů v
době předložení závěrečné zprávy musí být ze strany členských států zajištěno,
aby dotčené subjekty v uvedené lhůtě zpracovaly zprávu o pokroku a závěrečnou
zprávu následně vyhotovily do jednoho měsíce po incidentu.
Směrnice NIS 2 dává příslušným orgánům
v daném členském státě širokou paletu pravomocí pro kontrolu dodržování
povinností dotčenými subjekty.
Kromě žádostí o poskytnutí informací,
zpřístupnění dat nebo doložení dodržování bezpečnostních politik, může
příslušný dozorový orgán provádět bezpečnostní audity či kontroly, a to jak
dálkové, tak i přímo na místě u dotčeného subjektu. V průběhu kontroly může
orgán vydávat celou škálu různých opatření od závazných pokynů, přes nařízení o
provedení konkrétních doporučení, až po uložení sankcí za nedodržení
povinností.
Ukládání sankcí obecně musí být v
souladu s principy demokratického právního státu, tudíž by úřad měl postupovat
s ohledem na zásadu proporcionality a při ukládání sankcí posuzovat konkrétní
skutkové okolnosti.
V závislosti na závažnost porušení
povinností a další okolnosti se však výše peněžité sankce může vyšplhat až na 7
milionů EUR, respektive 1,4 % z celkového celosvětového ročního obratu u
důležitých subjektů, a až na 10 milionů EUR, respektive 2 % z celkového
celosvětového ročního obratu, u základních subjektů, podle toho, která z částek
je vyšší.
Zanechte nám e-mail a my Vás budeme informovat o tématech
souvisejících se směrnicí NIS 2. Nic Vám neunikne.
© Chrenek, Toman, Kotrba advokátní kancelář 2023