Směrnice NIS 2 je směrnice Evropského parlamentu a Rady EU, jejímž úkolem je zajistit vysokou úroveň kybernetické bezpečnosti napříč jednotlivými členskými státy Evropské unie. Směrnice NIS 2 navazuje na předchozí směrnici NIS a prohlubuje legislativní rámec kybernetické bezpečnosti.

Cílem NIS 2 je:

– rozšíření oblasti působnosti aktuálně platné a účinné směrnice NIS s ohledem na rychlou digitální transformaci společnosti,

– zlepšení odolnosti a schopnosti veřejných i soukromých subjektů a EU jako celku reagovat na incidenty v oblasti kybernetické bezpečnosti,

– zlepšení kybernetické bezpečnosti v EU a její sjednocení napříč EU.

Návrh směrnice NIS 2 mají doplnit také nová směrnice o posílení odolnosti kritických subjektů (směrnice CER) a nařízení o digitální provozní odolnosti finančního sektoru (nařízení DORA).

Nadále platná směrnice NIS z roku 2016 byla prvním krokem v regulaci kybernetické bezpečnosti. Směrnice NIS 2 má na původní směrnici navázat a dále rozšířit povinnosti dotčených subjektů. Změny, které směrnice NIS 2 přináší budou mít vliv jak na úrovni státní a unijní (zejména v oblasti povinností kladených na příslušné státní a unijní orgány), tak na úrovni subjektů směrnicí NIS 2 regulovaných.

Z hlediska regulovaných subjektů nejdůležitější změnu představuje rozšíření počtu subjektů, na které se bude směrnice NIS 2 oproti směrnici NIS vztahovat jimž vzniknou nové povinnosti, nicméně změny nastanou i ve zvýšení sankcí či zavedení povinnosti vzdělávat členy povinných organizací.

Směrnice byla publikována v Úředním věstníku EU 27. prosince 2022 a v platnost vstoupila 16. ledna 2023. Transpoziční lhůta pro členské státy činí 21 měsíců. Dá se tak předpokládat, že v druhé polovině roku 2024 nabude směrnice přímého účinku.

Povinné subjekty směrnice NIS 2 rozděluje primárně do dvou kategorií, a to s ohledem na jejich velikost a předmět činnosti.

V základu se tak subjekty či entity dělí na “essential” (“základní”) a “important” (“důležité”), a to v návaznosti na kritickou důležitost daného odvětví/služby a úroveň závislosti jiných odvětví/služeb na daném odvětví. Z tohoto základní dělení však směrnice NIS 2 stanovuje výjimku zahrnující subjekty, na které se povinnosti vztahují bez ohledu na jejich velikost.

Nově směrnice NIS 2 přidává také kritérium velikosti subjektu, na jehož základě do působnosti NIS 2 budou zahrnuty:

• všechny střední a velké podniky ve vybraných odvětvích dle NIS 2
• malé podniky a mikropodniky spadající pod čl. 2 odst. 2 návrhu směrnice NIS 2 zejm. subjekty plnící klíčovou úlohu pro hospodářství či společnost, nebo pro konkrétní odvětví či druhy služeb (např. veřejné sítě elektronických komunikací, orgány veřejné správy apod.)
  

Velikost podniku pro účely NIS 2 bude posuzována ve smyslu doporučení Komise 2003/361/ES, které stanovuje kritéria pro určení velikosti podniku:

• mikropodnik – má méně než 10 zaměstnanců a roční obrat (finanční částka získaná za určité období) nebo rozvahu (výkaz aktiv a pasiv společnosti) do 2.000.000 EUR,
• malý podnik – má méně než 50 zaměstnanců a roční obrat nebo rozvahu do 10.000.000 EUR,
• střední podnik – má méně než 250 zaměstnanců a roční obrat do 50.000.000 milionů EUR nebo rozvahu do 43.000.000 EUR.

Pozornost je v této souvislosti zapotřebí věnovat i kategoriím tzv. propojených a partnerských podniků.

Základní (“essential”) subjekty, jsou v první řadě ty subjekty, které velikostně překročí hranici středního podniku a současně spadají do odvětví uvedeného v Příloze I. směrnice NIS 2. Jedná o následující odvětví:

• energetika (elektřina, ropa, zemní plyn)
• doprava (letecká, železniční, vodní, silniční)
• bankovnictví (úvěrové instituce)
• infrastruktura finančních trhů
• zdravotnictví (zdravotnická zařízení, včetně nemocnic a soukromých klinik)
• pitná voda (dodavatelé a distributoři)
• odpadní voda
• digitální infrastruktura (např. výměnné uzly internetu (IXP), poskytovatelé služeb systému doménových jmen (DNS), registry internetových domén nejvyšší úrovně (TLD), poskytovatelé služeb cloud computingu, poskytovatelé veřejných sítí elektronických komunikacím poskytovatelé služeb datových center, poskytovatelé sítí pro doručování obsahu, poskytovatelé služeb vytvářejících důvěru)
• řízení ICT služeb (B2B; MSP, MSSP)
• subjekty veřejné správy s výjimkou soudnictví, parlamentů a centrálních bank
• vesmír (provozovatelé pozemní infrastruktury)

Vedle subjektů splňujících výše uvedená kritéria mají být do skupiny základních subjektů řazeny i další výslovně uvedené subjekty:

• kvalifikovaní poskytovatelé důvěryhodných služeb a registry názvů domén nejvyšší úrovně a také poskytovatelé služeb DNS bez ohledu na jejich velikost;
• poskytovatelé veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací uvedených v bodě 8 Přílohy I. směrnice NIS 2, kteří naplňují kritéria pro střední podniky;
• subjekty veřejné správy uvedené v čl. 2 odst. 2a prvním pododstavci směrnice NIS 2 (subjekty veřejné správy ústředních vlád, jakož i správní subjekty na regionální úrovni, jak je definují členské státy v souladu s vnitrostátním právem);
• jakékoli další subjekty z odvětví uvedeného v Příloze I. či Příloze II. směrnice NIS 2 zřízené členským státem na základě vnitrostátního posouzení rizik podle kritérií stanovených v čl. 2 odst. 2 písm. c) až f) směrnice NIS 2.

Vedle subjektů splňujících výše uvedená kritéria mají být do skupiny základních subjektů řazeny i další výslovně uvedené subjekty:

• kvalifikovaní poskytovatelé důvěryhodných služeb a registry názvů domén nejvyšší úrovně a také poskytovatelé služeb DNS bez ohledu na jejich velikost;
• poskytovatelé veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací uvedených v bodě 8 Přílohy I. směrnice NIS 2, kteří naplňují kritéria pro střední podniky;
• subjekty veřejné správy uvedené v čl. 2 odst. 2a prvním pododstavci směrnice NIS 2 (subjekty veřejné správy ústředních vlád, jakož i správní subjekty na regionální úrovni, jak je definují členské státy v souladu s vnitrostátním právem);
• jakékoli další subjekty z odvětví uvedeného v Příloze I. či Příloze II. směrnice NIS 2 zřízené členským státem na základě vnitrostátního posouzení rizik podle kritérií stanovených v čl. 2 odst. 2 písm. c) až f) směrnice NIS 2.

Pro účely směrnice NIS 2 se do kategorie důležitých (“important”) subjektů řadí všechny subjekty spadající do odvětví uvedených v Přílohách I a II směrnice NIS 2, které však nesplňují kritéria pro základní subjekty. Jsou sem řazeny i subjekty určené členskými státy na základě čl. 2 odst. 2 písm. c) až f) směrnice NIS 2.

V první řadě tedy budou za základní subjekty považovány podniky alespoň střední velikosti, které působí v důležitých odvětvích uvedených v Příloze II směrnice NIS 2. Mezi důležitá odvětví patří: 

• Poštovní a kurýrní služby
• Nakládání s odpady
• Výroba, produkce a distribuce chemických látek
• Výroba, zpracování a distribuce potravin
• Výroba
• Digitální poskytovatelé
• Výzkum

Mohou se sem ale řadit například také podniky, které nedosahují velikosti středního podniku, ale působí v odvětvích uvedených v Příloze I směrnice NIS 2 (blíže viz “Kdo je základním subjektem?”).

Vzhledem k povaze směrnice jakožto normativního právního aktu ukládajícího povinnost členským státům regulovat určitou problematiku bez stanovení konkrétních prostředků, určuje i směrnice NIS 2 oblasti, které mají členské státy povinnost obsáhnout ve svých vnitrostátních předpisech a připravit tak legislativní podklad pro účinné vymáhání daného právního předpisu.

Primární úlohou směrnice je přimět dotčené subjekty k zavádění preventivních opatření pro zajištění a posílení kybernetické bezpečnosti, tj. aby zejména přijaly vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro poskytování svých služeb.

Bezpečnostní opatření uvedená výše mají zahrnovat alespoň:

1. analýzu rizik a politiku bezpečnosti informačních systémů;
2. zvládání incidentů;
3. kontinuita činností (tj. business kontinuita), včetně zálohování, zotavení (disaster recovery) a krizové řízení;
4. zabezpečení dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho přímými dodavateli nebo poskytovateli služeb;
5. zabezpečení pořizování, vývoje a údržby sítě a informačních systémů, včetně zveřejňování informací o zranitelnostech a jejich řešení;
6. politiky a postupy za účelem posouzení účelnosti opatření k řízení rizik v oblasti kybernetické bezpečnosti;
7. základní postupy počítačové hygieny a školení v oblasti kybernetické bezpečnosti;
8. zásady a postupy týkající se používání kryptografie a případně šifrování;
9. bezpečnost lidských zdrojů, zásady kontroly přístupu a správa aktiv;
10. případně použití vícefaktorového ověřování nebo řešení průběžného ověřování, zabezpečené hlasové, video a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu.

Na rozdíl od relativně obecných formulací uvedených v původní směrnici NIS, směrnice NIS 2 jednotlivé povinnosti konkretizuje. Vedení dotčených organizací je tak povinno schvalovat a zavádět bezpečnostní opatření. Tato povinnost zároveň zahrnuje i nutnost pravidelných školení jak na úrovni vrcholného managementu tak i řadových zaměstnanců.

Incidentem se dle směrnice NIS 2 rozumí se jakákoli událost ohrožující dostupnost, autenticitu, integritu nebo důvěrnost uložených, přenášených nebo zpracovávaných údajů nebo služeb nabízených nebo přístupných prostřednictvím sítí a informačních systémů.

Směrnice dává organizacím vodítka pro rozpoznání incidentu mající významný dopad na kybernetickou bezpečnost. Nicméně konkretizace kritérií bude v gesci jednotlivých členských států, jelikož směrnice stanovuje aspekty, kdy je incident považován za významný relativně obecně:

1. incident způsobil nebo může způsobit vážné provozní narušení služeb nebo finanční ztráty pro dotčený subjekt;
2. incident způsobil nebo může způsobit jiným fyzickým nebo právnickým osobám značnou materiální nebo nehmotnou újmu. 

Naproti tomu rozsáhlým kybernetický bezpečnostním incidentem se rozumím incident, jehož narušení překračuje schopnost členského státu na něj reagovat nebo má významný dopad alespoň na dva členské státy.

Z logiky věci je hlavní povinností organizace, dojde-li k incidentu, si s tímto incidentem úspěšně poradit. Kromě zvládnutí incidentu však směrnice NIS 2 ukládá dotčeným subjektům povinnost některé incidenty oznámit příslušným orgánům.

Základní a důležité subjekty mají povinnost bez zbytečného odkladu oznámit CSIRT nebo případně příslušnému orgánu jakýkoli incident, který má významný dopad na poskytování jejich služeb (prvotní oznámení má proběhnout neprodleně, nejpozději však do 24 hodin po zjištění incidentu). V případě, že incident pravděpodobně nepříznivě ovlivní poskytování služby dotčeným subjektem, je tento povinen bez zbytečného prodlení informovat o incidentu příjemce jeho služeb. Dotčené subjekty ohlásí mimo jiné veškeré informace umožňující CSIRT a příslušnému orgánu určit jakýkoli přeshraniční dopad incidentu.

Dotčený subjekt by v případě incidentu měl v první řadě bez zbytečného odkladu a v každém případě do 24 hodin poté, co se o incidentu dozvěděl, podat příslušnému orgánu nebo CSIRT včasné varování (prvotní oznámení), v němž bude případně uvedeno, zda je významný incident pravděpodobně způsoben nezákonným nebo zlomyslným jednáním nebo by mohl mít křížový hraniční dopad.

Dále, bez zbytečného prodlení a v každém případě do 72 hodin poté, co se o incidentu dozvěděl, podá dotčený subjekt oznámení o incidentu, které případně aktualizuje informace uvedené ve včasném varování a uvede prvotní posouzení incidentu, jeho závažnost a dopad a také ukazatele kompromisu, pokud jsou k dispozici.

Dotčený subjekt může být ze strany CSIRT nebo případně příslušného orgánu požádán o vyhotovení průběžné zprávy o příslušných aktualizacích stavu.

Na závěr – nejpozději jeden měsíc po předložení oznámení o incidentu – dotčený subjekt vyhotoví závěrečnou zprávu, která bude obsahovat alespoň tyto údaje:

• podrobný popis incidentu, jeho závažnost a dopad;
• typ hrozby nebo hlavní příčinu, která pravděpodobně spustila incident;
• uplatněná a probíhající zmírňující opatření;
• případně přeshraniční dopad incidentu.

V případě probíhajících incidentů v době předložení závěrečné zprávy musí být ze strany členských států zajištěno, aby dotčené subjekty v uvedené lhůtě zpracovaly zprávu o pokroku a závěrečnou zprávu následně vyhotovily do jednoho měsíce po incidentu.

Směrnice NIS 2 ukládá členským státům povinnost, co nejvíce ulehčit povinným subjektům proces hlášení incidentů, registraci a obecně komunikaci s příslušnými úřady.

V České republice je příslušným orgánem NÚKIB (Národní Úřad pro Kybernetickou a Informační Bezpečnost), který má podle dostupných informací v plánu vytvořit jednotný systém, prostřednictvím něhož budou mít subjekty možnost nahlašovat incidenty a obecně s NÚKIBem komunikovat.

Dále, bez zbytečného prodlení a v každém případě do 72 hodin poté, co se o incidentu dozvěděl, podá dotčený subjekt oznámení o incidentu, které případně aktualizuje informace uvedené ve včasném varování a uvede počáteční posouzení incidentu, jeho závažnost a dopad a také ukazatele kompromisu, pokud jsou k dispozici.

Dotčený subjekt může být ze strany CSIRT nebo případně příslušného orgánu požádán o vyhotovení průběžné zprávy o příslušných aktualizacích stavu.

Na závěr – nejpozději jeden měsíc po předložení oznámení o incidentu – dotčený subjekt vyhotoví závěrečnou zprávu, která bude obsahovat alespoň tyto údaje:

• podrobný popis incidentu, jeho závažnost a dopad;
• typ hrozby nebo hlavní příčinu, která pravděpodobně spustila incident;
• uplatněná a probíhající zmírňující opatření;
• případně přeshraniční dopad incidentu.

V případě probíhajících incidentů v době předložení závěrečné zprávy musí být ze strany členských států zajištěno, aby dotčené subjekty v uvedené lhůtě zpracovaly zprávu o pokroku a závěrečnou zprávu následně vyhotovily do jednoho měsíce po incidentu.

Směrnice NIS 2 dává příslušným orgánům v daném členském státě širokou paletu pravomocí pro kontrolu dodržování povinností dotčenými subjekty.

Kromě žádostí o poskytnutí informací, zpřístupnění dat nebo doložení dodržování bezpečnostních politik, může příslušný dozorový orgán provádět bezpečnostní audity či kontroly, a to jak dálkové, tak i přímo na místě u dotčeného subjektu. V průběhu kontroly může orgán vydávat celou škálu různých opatření od závazných pokynů, přes nařízení o provedení konkrétních doporučení, až po uložení sankcí za nedodržení povinností.

Ukládání sankcí obecně musí být v souladu s principy demokratického právního státu, tudíž by úřad měl postupovat s ohledem na zásadu proporcionality a při ukládání sankcí posuzovat konkrétní skutkové okolnosti.

V závislosti na závažnost porušení povinností a další okolnosti se však výše peněžité sankce může vyšplhat až na 7 milionů EUR, respektive 1,4 % z celkového celosvětového ročního obratu u důležitých subjektů, a až na 10 milionů EUR, respektive 2 % z celkového celosvětového ročního obratu, u základních subjektů, podle toho, která z částek je vyšší.