Směrnice NIS2 – revoluce v oblasti kybernetické bezpečnosti

Jsme ADVOKÁTI se zaměřením na FIRMY.

Pomůžeme Vám se zorientovat ve změnách v oblasti kybernetické bezpečnosti, které přináší směrnice NIS2 a nový zákon o kybernetické bezpečnosti.

Kontaktujte nás:

Telefon: +420 721 798 745
Email: zeman@vozab.com

Koncem roku 2022 byla přijata směrnice Evropského parlamentu a Rady (EU) 2022/2555, která se zpravidla označuje jako směrnice NIS2. Jejím cílem je zvýšení úrovně kybernetické bezpečnosti v klíčových odvětvích státu. Mohlo by se tedy zdát, že směrnice nebude na běžný život menších a středních obchodních společností mít žádný velký dopad. Ve skutečnosti nic nemůže být dále pravdě, neboť dopad směrnice NIS2 bude naprosto zásadní, a to nejen pro osoby podnikající v těchto kritických odvětvích, ale i pro jejich smluvní partnery.

Směrnice NIS2 má být do českého právního řádu transponována nejpozději do 17. 10. 2024. Transpozice bude provedena přijetím nového zákona o kybernetické bezpečnosti, který má v dohledné době schvalovat vláda. Přestože nový zákon o kybernetické bezpečnosti ještě nebyl přijat a není známa jeho finální podoba, je již nyní možné zaobírat se změnami, které směrnice NIS2 a nový zákon o kybernetické bezpečnosti přinesou.

CO JE SMYSLEM SMĚRNICE NIS2?

Již aktuálně účinný zákon o kybernetické bezpečnosti (který bude v dohledné době zrušen a nahrazen zákonem novým) určité skupině zpravidla velkých společností podnikajících v kriticky důležitých odvětvích stanoví určité povinnosti v oblasti kybernetické bezpečnosti. Smyslem směrnice NIS2 a na ni navazující návrh nového zákona o kybernetické bezpečnosti je tento okruh osob rozšířit i na další, menší, osoby podnikající v určitých oblastech, které jsou pro fungování státu klíčové, respektive v oblastech, u nichž by únik dat nebo hackerský útok představoval značný problém pro velké množství osob.

JAKÁ ODVĚTVÍ JSOU REGULOVÁNA?

Odvětví, která směrnice NIS2 považuje za kriticky důležitá, jsou uvedena v přílohách č. I a č. II Směrnici NIS2, přičemž návrh zákona tento rozsah dále zpřesňuje. Mezi regulovaná odvětví má dle návrhu zákona patřit: veřejná správa, energetika, výrobní průmysl, potravinářský průmysl, chemický průmysl, vodní hospodářství, odpadové hospodářství, doprava, digitální infrastruktura a služby, finanční trh, zdravotnictví, věda, výzkum a vzdělávání, poštovní a kurýrní služby, vojenský průmysl a vesmírný průmysl. Ne všechny činnosti, které se týkají např. oblasti potravinářského průmyslu však budou považovány za regulované činnosti ve smyslu zákona. Konkrétní kritéria pro regulované služby náležejících do těchto odvětví by měl stanovit prováděcí právní předpis, a sice vyhláška Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB); rámci vyhlášky tak budou zpřesněny činnosti, které budou považovány za regulovanou činnost.

KOHO SE NOVÉ POVINNOSTI BUDOU TÝKAT?

Oproti aktuálnímu stavu se výrazně rozšiřuje okruh osob, kterým jsou ukládány povinnosti v oblasti kybernetické bezpečnosti. Směrnice NIS2, resp. návrh zákona, dopadá primárně na střední podniky, tj. podniky s 50 a více zaměstnanci a ročním obratem přes 10 milionů EUR, které současně vykonávají činnost v kterékoliv z výše uvedené regulované oblasti. – odkaz na definici středního podniku I pokud podnik nesplňuje definici středního podniku nebo pokud vykonává činnosti v jiných oblastech, přesto na něj mohou povinnosti dle směrnice NIS2, resp. zákona, dopadat. Je tomu tak zejména v případě, že podnik:

  • a) Poskytuje služby poskytovateli veřejné sítě elektronických komunikací, poskytovateli služeb vytvářejících důvěru (např. kvalifikované elektronické podpisy) nebo poskytovateli registru domén nejvyšší úrovně (CZ.NIC z.s.p.o.);
  • b) Je výhradním poskytovatelem služeb, jež mají zásadní dopad na zachování kritických společenských a hospodářských činností;
  • c) Je kriticky důležitým pro určité odvětví vzhledem ke svému specifickému postavení na trhu;
  • d) Narušení služby poskytované tímto podnikem by mohl mít významný dopad na veřejný pořádek, bezpečnost, zdraví nebo by mohlo mít významná systémová rizika.

Za regulovanou osobu se dále považují například profesní komory, vysoké školy či obce s rozšířenou působností.

POZOR, POVINNOSTI MOHOU DOPADNOUT I NA NEREGULOVANOU OSOBU

Některé povinnosti dle směrnice NIS2, resp zákona, mohou na třetí osobu dopadnout i zprostředkovaně tím, že své služby poskytuje regulované osobě. Regulovaná osoba je totiž dle směrnice NIS2 i návrhu zákona mimo jiné povinna přijmout opatření zohledňující případná rizika dodavatelského řetězce, tedy fakticky bude nucena po svých dodavatelích požadovat přijetí určitých opatření či převzetí smluvních povinností. Lze tedy očekávat, že dopad směrnice NIS2, resp. zákona, bude daleko širší, neboť fakticky se dotkne všech přímých (a pravděpodobně i nepřímých) dodavatelů regulovaných osob. Pokud tedy poskytujete své služby některé osobě, která bude považována za regulovanou osobu, určitě doporučujeme příchozí legislativu nepodcenit, a naopak se připravit na to, že v budoucnu budete pravděpodobně muset přijmout alespoň některá opatření směřující k minimalizaci kybernetických rizik. S ohledem na navržené přísné sankce za porušení povinností regulované osoby je totiž klidně možné, že regulovaná osoba nebude ochotna pokračovat v dalším čerpání služeb od jejího stávajícího dodavatele, pokud ten nebude poskytovat dostatečné záruky v oblasti kybernetické bezpečnosti.

REGULOVANÁ OSOBA JE POVINNA SE REGISTROVAT U NÚKIB

Každá osoba, která bude dle zákona považována za regulovanou osobu, bude povinna se registrovat u NÚKIB do evidence poskytovatelů regulovaných služeb, a to do 30 dnů ode dne, kdy se o své povinnosti registrace dozví, nejpozději do 90 dnů ode dne splnění pro registraci. Neprovedení registrace je přitom dle návrhu zákona sankcionováno pokutou až do výše 250 milionů Kč; i když uložení takto vysoké pokuty je prakticky nemyslitelné a zejména zpočátku se dá spíš předpokládat pokuta v řádech jednotek tisíců Kč, je přesto potřeba počítat s tím, že pokuta může být uložena. Otázku, zda je konkrétní osoba považována za regulovanou osobu nebo nikoliv, je proto potřeba vyřešit ideálně ještě předtím, než nový zákon nabyde účinnosti.

DVA REŽIMY POVINNOSTÍ

Návrh zákona pracuje se dvěma kategoriemi povinnosti, a to s tzv. režim vyšších povinností a režim nižších povinnosti. Konkrétní režim regulované osoby bude stanoven prováděcím právním předpisem – vyhláškou NÚKIB. Velmi zjednodušeně lze říci, osoby, které mají v rámci jednotlivých odvětví významné postavení (ať již s ohledem na svou velikost či funkci atp.) budou podléhat režimu vyšších povinností, a zbývající osoby budou podléhat režimu nižších povinností.

JAKÁ KONKRÉTNÍ OPATŘENÍ JE POTŘEBA PŘIJMOUT?

Rozsah povinností je opět stanoven vyhláškou NÚKIB. Vzhledem k tomu, že výčet povinností je velmi rozsáhlý, není dost dobře možné jednotlivé povinnosti v rámci tohoto článku blíže rozebrat, nad to to ani není účelem tohoto článku. Obecně lze říct, že opatření jsou dvojího typu, a sice organizační a technická. Návrh zákona na jedné straně ukládá povinnosti ve vztahu k řízení bezpečnosti informací a interních procesů, řízení rizik, kontrole dodavatelských řetězců, bezpečnosti lidských zdrojů, zvládání kybernetických událostí, pravidelného auditu bezpečnosti atp., a na druhé straně ukládá povinnosti i ve vztahu k fyzické ochraně informací, dat a komunikačních sítí, k ověřování identit, správy a tvorby hesel, používání antivirových programů, zaznamenávání a řešení kybernetických útoků atp. Jde tedy o pestrou škálu různých povinností. Návrh zákona přitom povinnosti ukládá nejen regulované osobě jako takové, ale i jejímu vrcholnému vedení, tj. obvykle členům statuárních orgánů, kteří jsou např. povinni pravidelně se účastnit školení o kybernetických rizicích, zajistit zavedení organizačních opatření a pravidelně sledovat kybernetická rizika, analyzovat je a dle potřeby přijímat potřebná opatření. Správné nastavení a plnění opatření je tedy zjevně i v zájmu

Kontaktujte nás:

Telefon: +420 721 798 745
Email: zeman@vozab.com

Napište nám

    Přejít nahoru