Zdroj: INFO.CZ
Další novinky ze
světa práva zde:: Blog |
Advokátní kancelář Chrenek, Toman, Kotrba (chrenektomankotrba.cz)
PRÁVNÍ SERVIS | V lednu 2023 nabyla účinnosti nejen
směrnice NIS2, o níž již bylo napsáno mnohé, ale též takzvaná směrnice CER. Obě
dvě směrnice představují vzájemně se doplňující předpisy, jejichž cílem je
zajištění vysoké úrovně kybernetické bezpečnosti a zvýšení odolnosti kritických
subjektů proti online i offline hrozbám a kybernetickým útokům v Evropské unii.
Směrnice CER (směrnice Evropského parlamentu a Rady
(EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů)
nahrazuje směrnici o evropské kritické infrastruktuře z roku 2008
(směrnice Rady 2008/114/ES) a nová pravidla, která zavádí, mají posílit
odolnost kritické infrastruktury vůči řadě hrozeb, včetně přírodních rizik,
teroristických útoků, hybridních či vnitřních hrozeb nebo sabotáží.
V souladu se směrnicí CER budou členské státy povinny
přijmout opatření pro zajištění neomezeného
poskytování nejdůležitějších služeb a činností (ať již společenských
či hospodářských). S tímto je spojena i povinnost určit tzv.
kritické subjekty (tj. subjekty náležející do některé z kategorií
uvedených v příloze směrnice CER) a podporovat tyto kritické subjekty
při plnění povinností, které jim byly uloženy. Směrnice pak také mimo jiné
stanoví bližší pravidla pro dohled nad kritickými subjekty, pravidla pro
vymáhání povinností či určení kritických subjektů zvláštního evropského významu
(v krátkosti jde o kritický subjekt, který poskytuje stejné nebo
podobné základní služby v šesti nebo více členských státech nebo do těchto
států).
Jak je již zmíněno výše, členské státy budou muset
do 17. července 2026 určit kritické subjekty pro odvětví
a pododvětví stanovené ve směrnici CER. Směrnice CER ve své příloze
stanovuje dispozitivní výčet sektorů a služeb, které jsou klíčové pro
zachování životně důležitých společenských funkcí, ekonomických činností,
veřejného zdraví a bezpečnosti nebo životního prostředí – jde
o následujících jedenáct odvětví (dále dělených na
pododvětví a kategorie subjektů):
- energetika (elektřina,
dálkové vytápění a chlazení, ropa, zemní plyn, vodík) – se službami,
jako je výroba elektřiny, skladování a distribuce energie;
- doprava (letecká,
železniční, vodní, silniční, veřejná) – se službami, jako je například
správa a údržba letištní nebo železniční infrastruktury;
- bankovnictví (úvěrové
instituce);
- infrastruktura
finančních trhů (provozovatelé obchodních systémů a ústřední
protistrany);
- zdraví (poskytování
zdravotní péče, referenční laboratoře, výzkum a vývoj léčivých
přípravků, výroba kriticky důležitých zdravotních prostředků, distribuce);
- pitná
voda (doprava a distribuce pitné vody);
- odpadní
voda (shromažďování, čištění a likvidace odpadních vod);
- digitální
infrastruktura – se službami, jako je např. poskytování
a provozování služby internetového výměnného bodu, systém doménových
jmen, doména nejvyšší úrovně, cloud computing a datová centra;
- veřejná
správa;
- vesmír (provozování
pozemních infrastrukturních služeb);
- výroba,
zpracování a distribuce potravin.
Při určování kritických subjektů členský stát vyjde
z uvedeného seznamu základních sektorů a služeb a dále posoudí,
zda na území tohoto státu subjekt působí a nachází se tam jeho kritická
infrastruktura, a jaký potenciální význam může mít dopad případného
incidentu na poskytování jedné či více základních služeb. Význam dopadu se
posuzuje v návaznosti na stanovená kritéria, jako je například počet
uživatelů či zásadních odvětví závislých na dané základní službě, možný dopad
(i územní) případného incidentu, tržní podíl subjektu na trhu
s dotčenou základní službou nebo i důležitost subjektu.
Seznam služeb členské státy využijí i pro účely provedení
posouzení rizik daného státu, při němž posoudí všechna relevantní přírodní
a člověkem způsobená rizika, včetně rizik meziodvětvové nebo přeshraniční
povahy, havárií, přírodních katastrof, mimořádných událostí v oblasti
veřejného zdraví a hybridních hrozeb či jiných antagonistických hrozeb,
včetně teroristických trestných činů. Toto hodnocení provedou do 17. ledna 2026
a následně dle potřeby alespoň každé 4 roky. Vedle hodnocení rizik budou
členské státy do stejného data povinny přijmout strategii týkající se
odolnosti kritických subjektů stanovující strategické cíle
a opatření k dosažení vysoké úrovně odolnosti kritických subjektů.
Jakmile dojde k identifikaci kritických subjektů, budou
o tomto dotčené kritické subjekty informovány a následně budou
tyto subjekty povinny provést posouzení rizik a přijmout vhodná
a přiměřená technická, bezpečnostní a organizační opatření
k zajištění jejich odolnosti.
Tato opatření ke zvýšení odolnosti kritických subjektů mají
spočívat zejména v:
- předcházení
vzniku incidentů;
- zajištění
přiměřené fyzické ochrany prostor a kritické infrastruktury, přičemž
řádně zváží například oplocení, zábrany, nástroje a postupy pro
monitorování hranic objektu, detekční zařízení a kontroly přístupu;
- zajištění
odezvy na incidenty, odolávání a zmírňování důsledků incidentů;
- zotavení
se z incidentů, včetně zajištění kontinuity činnosti a určení
alternativních dodavatelských řetězců s cílem obnovit poskytování
základní služby;
- zajištění
přiměřeného řízení bezpečnosti zaměstnanců (vč. pracovníků externích
poskytovatelů služeb);
- zvyšování
povědomí a odborné přípravy příslušných pracovníků o opatřeních
ke zvýšení odolnosti.
Uvedená opatření již mnoho dotčených subjektů v nějaké
míře uplatňuje již nyní. I tak lze přepokládat, že se jich zamýšlená
opatření dotknou přinejmenším v oblasti nárůstu administrativy.
Směrnice CER samozřejmě musí být promítnuta
i do právních řádů jednotlivých členských států EU, a to konkrétně do
17. října 2024. V českém právním rámci na přípravě nového zákona
o kritické infrastruktuře pracuje Ministerstvo vnitra a lze očekávat,
že zvyšování odolnosti kritických subjektů by mělo být součástí krizového
řízení. Předpokládat lze také to, že v návaznosti na směrnici CER se
připravovaný zákon bude na jedné straně zaměřovat na stanovení pravomoci
a působnosti státních orgánů (zejména Ministerstva vnitra jako předpokládaného
centrálního orgánu státní správy pro oblast zvyšování odolnosti kritické
infrastruktury), tak i určení kritických subjektů a povinností těchto
subjektů (a poskytovatelů základních služeb) na straně druhé.
Návrh zákona dosud nebyl představen, avšak lze tak očekávat
v blízké době, a to i s ohledem na krátící se lhůtu pro
implementaci směrnice CER. Legislativní situaci průběžně sledujeme
a o vývoji vás budeme informovat v dalších článcích.
