Bezpečnostní směrnice NIS2

Obecné informace o směrnici NIS2

V České republice již existuje zákon č. 181/2014 Sb. o kybernetické bezpečnosti u nějž dochází k novelizaci. Velkou výhodou pro Českou republiku je, že jako jeden z mála členských států měla v této oblasti díky zmíněnému zákonu zkušenosti, a proto také mohla významně přispět k obsahu první směrnice NIS.

Nyní přichází Evropská unie s prohloubením tohoto rámce, který reprezentuje nová směrnice o kybernetické bezpečnosti – tzv. NIS2. Česká republika však může těžit ze své výhody kvalitně zpracovaného zákona o kybernetické bezpečnosti, neboť velká část změn prezentovaných v NIS2 míří směrem k současné české regulaci. Pro organizace, kterých se týkala již původní směrnice NIS, se toho tedy v praxi příliš měnit nebude.

Koho se nové povinnosti týkají

Směrnice NIS2 v souladu s čl. 2 nepočítá s tím, že by ukládala povinnosti úplně každému, kdo danou službu poskytuje. Vývoj dovedl její tvůrce k tomu, že primárním způsobem stanovení, jestli soukromá nebo veřejná organizace spadá pod regulaci směrnice, je současné naplnění následujících dvou pravidel:

organizace poskytuje alespoň jednu službu uvedenou v přílohách směrnice a zároveň
je středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK).

Speciální pozornost při posuzování velikosti podniku podle výše uvedeného evropského předpisu je potřeba věnovat přičítání velikosti dalších organizací k velikosti mé organizace v rámci kategorií tzv. partnerských nebo propojených podniků. Především v případě koncernového řízení to může v praxi znamenat, že dceřiná společnost, která by sama o sobě byla velikostí malým podnikem bude při připočtení velikosti mateřské společnosti např. středním nebo velkým podnikem.

Rozdělení povinných organizací

Univerzálním pravidlem podle čl. 3 odst. 1 písm. a) směrnice NIS2 je, že do kategorie „essential entity“ spadá taková organizace, která poskytuje některou ze služeb uvedených v příloze I směrnice a zároveň je velkou organizací (slovy českého překladu směrnice NIS2 „překračují stropy pro střední podniky stanovené v čl. 2 odst. 1 přílohy doporučení 2003/361/ES“). Zrcadlově k tomu, střední organizace, jejíž služba je uvedená v příloze I, nebo střední a velká organizace, jejíž služba je uvedená v příloze II, spadá do kategorie „important entity“ (podle čl. 3 odst. 2).

Povinnost zavádět bezpečnostní opatření

Organizace, na které se směrnice NIS2 vztahuje, mají povinnost zavádět a provádět bezpečnostní opatření. Tuto povinnost mají organizace nehledě na to, zda jsou v kategorii „essential entity“ nebo „important entity“.

Směrnice NIS2 v čl. 20 zdůrazňuje odpovědnost vedení organizací za schválení a zavádění bezpečnostních opatření ke snížení rizik pro kybernetickou bezpečnost. Součástí těchto požadavků je také to, že vedení organizací má povinnost osobně absolvovat školení na téma kybernetické bezpečnosti a podporovat v těchto školeních také své zaměstnance.

Incidenty a způsob jejich hlášení

Zvládání incidentů (směrnice používá v čl. 6 odst. 8 pojem „řešení incidentů“) je jedním ze základních bezpečnostních opatření. Přesto, že organizace dělá vše pro to, aby incidentům předcházela, může incident nastat. V takovém případě si s ním musí být nejen schopna poradit, ale směrnice NIS2 požaduje ve svém čl. 23 také to, aby organizace některé incidenty oznámila stanovenému týmu CERT, resp. CSIRT.

Směrnice v čl. 20 odst. 1 uvádí, že organizace spadající jak do kategorie „essential entity“, tak do kategorie „important entity“ jsou povinny hlásit takové incidenty, které mají významný dopad na poskytování jejich služeb, přičemž v odst. 3 uvádí základní body, jak významný incident poznat. Protože jsou tyto body stanoveny následujícím způsobem:

incident způsobil nebo může způsobit závažné provozní narušení služeb nebo finanční ztráty pro dotčený subjekt;
incident způsobil nebo může způsobit jiným fyzickým nebo právnickým osobám značnou materiální nebo nehmotnou újmu,
bude bližší a prakticky použitelné stanovení incidentů s významným dopadem dáno spíše až členskými státy v jejich národních předpisech.

Způsob kontroly plnění povinností

Kromě samotného výkonu kontroly u organizací v kategoriích „essential entity“ a „important entity“ může dozorový úřad dle čl. 32 odst. 4 a čl. 33 odst. 4 směrnice také:

vydávat závazné pokyny nebo příkazy požadující, aby organizace napravily zjištěné nedostatky nebo porušení povinností;
nařídit organizacím, aby přestaly s chováním, které není v souladu se zákonnými povinnostmi a zdržely se tohoto jednání;
nařídit organizacím, aby svá bezpečnostní opatření nebo procesy stanovené k hlášení incidentů konkrétním stanoveným způsobem a ve stanovené lhůtě uvedly do souladu s požadavky;
nařídit organizacím, aby informovaly fyzické nebo právnické osoby, kterým poskytují služby nebo činnosti, které jsou potenciálně ovlivněny významnou kybernetickou hrozbou, o povaze hrozby, jakož i o případných ochranných nebo nápravných opatřeních, která mohou být přijata touto fyzickou nebo právnickou osobou v reakci na tuto hrozbu;
nařídit organizacím, aby v přiměřené lhůtě provedly doporučení poskytnutá na základě bezpečnostního auditu;
nařídit organizacím, aby specifikovaným způsobem zveřejnily aspekty neplnění povinností, pokud by takové zveřejnění ovšem nevedlo k poškození dané organizace a
uložit správní pokuty vedle opatření uvedených výše nebo namísto nich.

Sankce a donucovací prostředky

Aby bylo možné požadavky směrnice NIS2 po promítnutí jejího obsahu do českého právního řádu efektivně vymáhat, zavádí směrnice sadu sankcí a kontrolních a donucovacích prostředků. Ty je možné v případě jejího porušení a v rámci předcházení potenciálnímu porušení použít.

Sankce a donucovací prostředky jako takové nejsou v regulaci kybernetické bezpečnosti žádnou novinkou. Zákon o kybernetické bezpečnosti je má ve svém znění od samého počátku. Obsah směrnice NIS2 a tedy i budoucí regulace se v obecných principech nebude tolik lišit od současné úpravy, přesto přinese několik novinek.

Směrnice také v obecné rovině stanoví nejnižší možnou úroveň horní hranice sazby pokut. Ta je stanovena pro regulované organizace v kategorii „important entity“ horní hranicí 7 miliónů EUR nebo 1,4 % ze světového obratu (podle toho, co je vyšší). V kategorii „essential entity“ je potom horní hranice 10 miliónů EUR nebo 2 % ze světového obratu (podle toho, co je vyšší).

Školení

Název	Kód	Jazyk	Délka	Forma	Termín konání	Cena
NIS2 a návrh nového ZKB	PU23010034-0002		8 hodin	učebna Kurz probíhá prezenčně v učebně s lektorem. učebna	22. 6. 2023 09:00	8 900 Kč
NIS2 a návrh nového ZKB	PU23010034-0001		8 hodin	učebna Kurz probíhá prezenčně v učebně s lektorem. učebna	otevřený termín	8 900 Kč