Rok 2023 lze bez nadsázky nazvat dalším velkým rokem pro kybernetickou bezpečnost v Evropské unii. V pondělí 16. ledna 2023 nabyla účinnosti nová směrnice Evropského parlamentu a Rady (EU) 2022/2555, o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, tzv. směrnice NIS2. Směrnice NIS2 navazuje na předchozí směrnici NIS, ale zásadně rozšiřuje kategorie subjektů, které spadají do její působnosti, stanovuje nová a podrobnější pravidla pro kybernetickou bezpečnost a hlášení incidentů a také zavádí přísnější režim vymáhání povinností směrnicí stanovených.
Členské státy nyní musí do 17. října 2024 směrnici NIS2 implementovat do své národní legislativy tak, aby přijatá opatření byla účinná od 18. října 2024. V českém právním prostředí si implementace vyžádá změnu zákona o kybernetické bezpečnosti i prováděcích předpisů k němu (zejména vyhlášky o kybernetické bezpečnosti) a předpokládá se i přijetí nové určovací vyhlášky.
Regulatorní prostřední bude tím složitější, že účinnosti nenabyla pouze směrnice NIS2, ale rovněž směrnice 2022/2557, o odolnosti kritických subjektů (směrnice CER), jakož i nařízení 2022/2554, o digitální provozní odolnosti finančního sektoru (nařízení DORA). V současné době je také projednáván návrh nařízení o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky (Akt o kybernetické odolnosti), a k tomu je na české půdě připravována rovněž nová legislativa v oblasti prověřování bezpečnosti dodavatelských řetězců.
Mohlo by se zdát, že pro Českou republiku směrnice NIS2 nepřináší až tak drastické změny, vzhledem k tomu, že zákon o kybernetické bezpečnosti společně s vyhláškou o kybernetické bezpečnosti nejen implementoval původní směrnici NIS, ale zvolil přísnější úpravu kybernetické bezpečnosti nad rámec jejích požadavků. Změny přinášené směrnicí NIS2 však budou citelné zejména proto, že se dotknou velkého počtu subjektů, na které dosud právní úprava kybernetické bezpečnosti nedopadala.
Jaké hlavní změny směrnice NIS2 přináší?
1. Směrnice NIS2 významně rozšiřuje kategorie subjektů spadajících do její působnosti. Nově se sem bude řadit široká škála subjektů, které nespadaly pod původní směrnici NIS – jako jsou například výrobci základních farmaceutických výrobků a zdravotnických prostředků, výrobci chemických látek, zpracovatelé potravin či poskytovatelé služeb cloud computingu nebo veřejných sítí či služeb elektronických komunikací. Nová regulace tak obsáhne podstatně více odvětví než předchozí směrnice NIS a dopadne na velké množství subjektů, které se dosud nepodřizovaly zákonným povinnostem v oblasti kybernetické bezpečnosti.
2. Směrnice NIS2 již nerozlišuje mezi „provozovateli základních služeb“ a „poskytovateli digitálních služeb“, místo toho mají být nově subjekty děleny na základní (essential) a důležité (important), a to na základě odvětví (resp. jeho kritické důležitosti a úrovně závislosti jiných odvětví na tomto odvětví) a velikosti daného subjektu.
3. Nová regulace se bude týkat veřejných i soukromých subjektů vykonávajících činnost či poskytujících služby v EU, jejichž druhy jsou uvedeny v přílohách I a II směrnice NIS2 (tj. na subjekty ze stanovených vysoce kritických a dalších kritických odvětví), a které jsou současně považovány za střední podniky, nebo hranici středního podniku překračují. Z hlediska velikosti tak má primárně jít o podniky, které mají více než 50 zaměstnanců a roční obrat nebo rozvahu přesahující 10.000.000 EUR. Kritéria velikosti podniku jsou odvozována z doporučení 2003/361/ES. Je třeba říci, že směrnice NIS2 uvádí i případy, kdy povinným může být i subjekt nesplňující strop pro střední podnik – např. subjekt, který je v členském státě výhradním poskytovatelem služby, jež má zásadní význam pro zachování kritických společenských nebo hospodářských činností.
4. Podle odhadů Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) bude nově v České republice v návaznosti na směrnici NIS2 přinejmenším 6 000 povinných subjektů ve srovnání se stávajícími zhruba 400 povinnými subjekty.
5. Stejně jako předchozí směrnice NIS, i směrnice NIS2 vyžaduje, aby povinné subjekty přijaly technická, provozní a organizační opatření k řízení rizik ohrožujících jejich sítě a informační systémy a minimalizovaly dopady těchto potenciálních incidentů. V této souvislosti směrnice NIS2 ukládá základním a důležitým subjektům nové povinnosti v oblasti kybernetické bezpečnosti např. ve vztahu k řízení rizik (včetně řízení rizik dodavatelského řetězce), hlášení kybernetických incidentů a sdílení informací. Povinné subjekty budou muset zavést či aktualizovat řídící procesy a zásady, aby nově požadované povinnosti splnily. Základním i důležitým subjektům směrnice NIS2 ukládá v zásadě podobné povinnosti, ale pro základní subjekty jsou stanovena přísnější pravidla pro vymáhání a dohled.
6. Za neplnění povinností stanovených směrnicí NIS2 mohou povinné subjekty čelit různým sankcím, včetně vysokých pokut. Za nedodržení některých pravidel stanovených směrnicí NIS2 (zejm. přijetí opatření k řízení bezpečnostních rizik a plnění oznamovací povinnosti) hrozí základním subjektům pokuta ve výši minimálně 10.000.000 EUR (nebo 2 % z celkového celosvětového ročního obratu podniku), důležitým subjektům pak pokuta ve výši minimálně 7.000.000 EUR(nebo 1,4 % z celkového celosvětového ročního obratu podniku).
7. Směrnice NIS2 zavádí povinnosti a osobní odpovědnost pro řídící orgány – zejména tedy půjde o statutární orgány společností. Žádá se, aby řídící orgány dohlížely na opatření v oblasti kybernetické bezpečnosti, schvalovaly je a byly v této oblasti též školeny. Za neplnění stanovených povinností pak mohou být vystaveny značným potenciálním sankcím, včetně dočasného zákazu výkonu řídicích funkcí v základním subjektu.
8. Směrnice NIS2 rovněž vyžaduje, aby členské státy EU zlepšily své národní strategie kybernetické bezpečnosti a reagovaly na digitální hrozby – potenciálně povinné subjekty by rozhodně měly věnovat pozornost nadcházejícím (nejen legislativním) krokům členských států v této oblasti.
Co by měly subjekty učinit před transpozicí směrnice NIS2 do českého právního řádu?
V první řadě důkladně posoudit, zda vykonávají činnost nebo poskytují služby, na které se směrnice NIS2 vztahuje, a budou se tedy řadit k povinným subjektům.
Po vyhodnocení, že dle směrnice NIS2 budou povinným subjektem, by měly začít vyhodnocovat dosud prováděná bezpečnostní opatření v oblasti kybernetické bezpečnosti a připravovat změny svých zásad zabezpečení, řízení rizik a procesů reagování na incidenty tak, aby byly souladné se směrnicí NIS2. Vzhledem k výslovnému požadavku směrnice NIS2 na řešení rizik dodavatelského řetězce, nové povinnosti hlášení a reagování na incidenty i provádění nových bezpečnostních kontrol, budou procesy vyžadované směrnicí NIS2 často časově náročné, proto je vhodné se na chystané změny začít připravovat co nejdříve.
