© Chrenek, Toman, Kotrba advokátní kancelář 2023
Společnosti podléhá stále rychlejší digitální transformaci a ruku v ruce s tím roste potřeba a nutnost vyššího zajištění kybernetické bezpečnosti na úrovni států i jednotlivých subjektů. Vzhledem k tomu, že stávající úprava se tváří v tvář aktuální situaci jeví jako nedostatečná a nejednotná, je na úrovni EU vytvářena nová regulace kybernetické bezpečnosti, v jejímž čele aktuálně stojí směrnice NIS 2, která bude mít dalekosáhlé dopady na úpravu kybernetické bezpečnosti i v České republice.
Spojte se s námi a zjistěte co obnáší nová Směrnice NIS 2 právě pro Vaší firmu.
Protože právní úprava, kterou přináší dopadne na velké množství subjektů, které dosud nebyly povinny zabezpečovat své systémy v souladu se zákonem o kybernetické bezpečnosti, a rozhodně se ji nevyplatí ignorovat – sankce, které na základě implementované směrnice bude možno ukládat, budou značné.
Směrnice NIS 2 je směrnice Evropského parlamentu a Rady EU, jejímž úkolem je zajistit vysokou úroveň kybernetické bezpečnosti napříč jednotlivými členskými státy Evropské unie. Směrnice NIS 2 navazuje na předchozí směrnici NIS a prohlubuje legislativní rámec kybernetické bezpečnosti.
Cílem NIS 2 je:
– rozšíření oblasti působnosti aktuálně platné a účinné směrnice NIS s ohledem na rychlou digitální transformaci společnosti,
– zlepšení odolnosti a schopnosti veřejných i soukromých subjektů a EU jako celku reagovat na incidenty v oblasti kybernetické bezpečnosti,
– zlepšení kybernetické bezpečnosti v EU a její sjednocení napříč EU.
Návrh směrnice NIS 2 mají doplnit také nová směrnice o posílení odolnosti kritických subjektů (směrnice CER) a nařízení o digitální provozní odolnosti finančního sektoru (nařízení DORA).
Aktuálně platná směrnice NIS z roku 2016 byla prvním krokem v regulaci kybernetické bezpečnosti. Směrnice NIS 2 má na původní směrnici navázat a dále rozšířit povinnosti dotčených subjektů. Změny, které směrnice NIS 2 přináší budou mít vliv jak na úrovni státní a unijní (zejména v oblasti povinností kladených na příslušné státní a unijní orgány), tak na úrovni subjektů směrnicí NIS 2 regulovaných.
Z hlediska regulovaných subjektů nejdůležitější změnu představuje rozšíření počtu subjektů, na které se bude směrnice NIS 2 oproti směrnici NIS vztahovat jimž vzniknou nové povinnosti, nicméně změny nastanou i ve zvýšení sankcí či zavedení povinnosti vzdělávat členy povinných organizací.
Směrnice je nyní ve fázi návrhu a publikace finálního znění se očekává v poslední čtvrtině roku 2022 (dle posledních informací by o finálním znění směrnice NIS 2 měl Evropský Parlament hlasovat v plénu 9. 11. 2022). Členské státy následně budou mít 21 měsíců pro transponování směrnice do svého právního řádu. Dá se tak předpokládat, že v druhé polovině roku 2024 směrnice nabude přímého účinku a bude obecně závazná pro povinné subjekty.
Povinné subjekty směrnice NIS 2 rozděluje primárně do dvou kategorií, a to s ohledem na jejich velikost a předmět činnosti.
V základu se tak subjekty dělí na “essential” (“základní”) a “important” (“důležité”), a to v návaznosti na kritickou důležitost daného odvětví/služby a úroveň závislosti jiných odvětví/služeb na daném odvětví. Z tohoto základní dělení však směrnice NIS 2 stanovuje výjimku zahrnující subjekty, na které se povinnosti vztahují bez ohledu na jejich velikost.
Nově směrnice NIS 2 přidává také kritérium velikosti subjektu, na jehož základě do působnosti NIS 2 budou zahrnuty:
malé podniky a mikropodniky spadající pod čl. 2 odst. 2 návrhu směrnice NIS 2 zejm. subjekty plnící klíčovou úlohu pro hospodářství či společnost, nebo pro konkrétní odvětví či druhy služeb (např. veřejné sítě elektronických komunikací, orgány veřejné správy apod.)
Velikost podniku pro účely NIS 2 bude posuzována ve smyslu doporučení Komise 2003/361/ES, které stanovuje kritéria pro určení velikosti podniku:
Pozornost je v této souvislosti zapotřebí věnovat i kategoriím tzv. propojených a partnerských podniků.
Základní (“essential”) subjekty, jsou v první řadě ty subjekty, které velikostně překročí hranici středního podniku a současně spadají do odvětví uvedeného v Příloze I. směrnice NIS 2. Jedná o následující odvětví:
Vedle subjektů splňujících výše uvedená kritéria mají být do skupiny základních subjektů řazeny i další výslovně uvedené subjekty:
Pro účely směrnice NIS 2 se do kategorie důležitých (“important”) subjektů řadí všechny subjekty spadající do odvětví uvedených v Přílohách I a II směrnice NIS 2, které však nesplňují kritéria pro základní subjekty. Jsou sem řazeny i subjekty určené členskými státy na základě čl. 2 odst. 2 písm. c) až f) směrnice NIS 2.
V první řadě tedy budou za základní subjekty považovány podniky alespoň střední velikosti, které působí v důležitých odvětvích uvedených v Příloze II směrnice NIS 2. Mezi důležitá odvětví patří:
Mohou se sem ale řadit například také podniky, které nedosahují velikosti středního podniku, ale působí v odvětvích uvedených v Příloze I směrnice NIS 2 (blíže viz “Kdo je základním subjektem?”).
Vzhledem k povaze směrnice jakožto normativního právního aktu ukládající povinnost členským států regulovat určitou problematiku bez stanovení konkrétních prostředků, určuje i směrnice NIS 2 oblasti, které mají členské státy povinnost obsáhnout ve svých vnitrostátních předpisech a připravit tak legislativní podklad pro účinné vymáhání daného právního předpisu.
Primární úlohou směrnice je přimět dotčené subjekty k zavádění preventivních opatření pro zajištění a posílení kybernetické bezpečnosti, tj. aby zejména přijaly vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro poskytování svých služeb.
Bezpečnostní opatření uvedená výše mají zahrnovat alespoň:
Na rozdíl od relativně obecných formulacích uvedených v původní směrnici NIS, směrnice NIS 2 jednotlivé povinnosti konkretizuje. Vedení dotčených organizací je tak povinno schvalovat a zavádět bezpečnostní opatření. Tato povinnost zároveň zahrnuje i nutnost pravidelných školení jak na úrovni vrcholného managementu tak i řadových zaměstnanců.
Incidentem se dle směrnice NIS 2 rozumí se jakákoli událost ohrožující dostupnost, autenticitu, integritu nebo důvěrnost uložených, přenášených nebo zpracovávaných údajů nebo služeb nabízených nebo přístupných prostřednictvím sítí a informačních systémů.
Směrnice dává organizacím vodítka pro rozpoznání incidentu mající významný dopad na kybernetickou bezpečnost. Nicméně konkretizace kritérií bude v gesci jednotlivých členských států, jelikož směrnice stanovuje aspekty, kdy je incident považován za významný relativně obecně:
Naproti tomu o rozsáhlým kybernetický bezpečnostním incidentem se rozumím incident, jehož narušení překračuje schopnost členského státu na něj reagovat nebo má významný dopad alespoň na dva členské státy.
Z logiky věci je hlavní povinností organizace, dojde-li k incidentu, si s tímto incidentem úspěšně poradit. Kromě zvládnutí incidentu však směrnice NIS 2 ukládá dotčeným subjektům povinnost některé incidenty oznámit příslušným orgánům.
Základní a důležité subjekty mají povinnost bez zbytečného odkladu oznámit CSIRT nebo případně příslušnému orgánu jakýkoli incident, který má významný dopad na poskytování jejich služeb (prvotní oznámení má proběhnout neprodleně, nejpozději však do 24 hodin po zjištění incidentu). V případě, že incident pravděpodobně nepříznivě ovlivní poskytování služby dotčeným subjektem, je tento povinen bez zbytečného prodlení informovat o incidentu příjemce jeho služeb. Dotčené subjekty ohlásí mimo jiné veškeré informace umožňující CSIRT a příslušnému orgánu určit jakýkoli přeshraniční dopad incidentu.
Dotčený subjekt by v případě incidentu měl v první řadě bez zbytečného odkladu a v každém případě do 24 hodin poté, co se o incidentu dozvěděl, podat příslušnému orgánu nebo CSIRT včasné varování (prvotní oznámení), v němž bude případně uvedeno, zda je významný incident pravděpodobně způsoben nezákonným nebo zlomyslným jednáním nebo by mohl mít křížový hraniční dopad.
Dále, bez zbytečného prodlení a v každém případě do 72 hodin poté, co se o incidentu dozvěděl, podá dotčený subjekt oznámení o incidentu, které případně aktualizuje informace uvedené ve včasném varování a uvede počáteční posouzení incidentu, jeho závažnost a dopad a také ukazatele kompromisu, pokud jsou k dispozici.
Dotčený subjekt může být ze strany CSIRT nebo případně příslušného orgánu požádán o vyhotovení průběžné zprávy o příslušných aktualizacích stavu.
Na závěr – nejpozději jeden měsíc po předložení oznámení o incidentu – dotčený subjekt vyhotoví závěrečnou zprávu, která bude obsahovat alespoň tyto údaje:
V případě probíhajících incidentů v době předložení závěrečné zprávy musí být ze strany členských států zajištěno, aby dotčené subjekty v uvedené lhůtě zpracovaly zprávu o pokroku a závěrečnou zprávu následně vyhotovily do jednoho měsíce po incidentu.
Směrnice NIS 2 ukládá členským státům povinnost, co nejvíce ulehčit povinným subjektům proces hlášení incidentů, registraci a obecně komunikaci s příslušnými úřady.
V České republice je příslušným orgánem NÚKIB (Národní Úřad pro Kybernetickou a Informační Bezpečnost), který má podle dostupných informací v plánu vytvořit jednotný systém, prostřednictvím něhož budou mít subjekty možnost nahlašovat incidenty a obecně s NÚKIBem komunikovat.
Dále, bez zbytečného prodlení a v každém případě do 72 hodin poté, co se o incidentu dozvěděl, podá dotčený subjekt oznámení o incidentu, které případně aktualizuje informace uvedené ve včasném varování a uvede počáteční posouzení incidentu, jeho závažnost a dopad a také ukazatele kompromisu, pokud jsou k dispozici.
Dotčený subjekt může být ze strany CSIRT nebo případně příslušného orgánu požádán o vyhotovení průběžné zprávy o příslušných aktualizacích stavu.
Na závěr – nejpozději jeden měsíc po předložení oznámení o incidentu – dotčený subjekt vyhotoví závěrečnou zprávu, která bude obsahovat alespoň tyto údaje:
V případě probíhajících incidentů v době předložení závěrečné zprávy musí být ze strany členských států zajištěno, aby dotčené subjekty v uvedené lhůtě zpracovaly zprávu o pokroku a závěrečnou zprávu následně vyhotovily do jednoho měsíce po incidentu.
Směrnice NIS 2 dává příslušným orgánům v daném členském státě širokou paletu pravomocí pro kontrolu dodržování povinností dotčenými subjekty.
Kromě žádostí o poskytnutí informací, zpřístupnění dat nebo doložení dodržování bezpečnostních politik, může příslušný orgán provádět bezpečnostní audity či kontroly, a to jak dálkové tak i přímo na místě u dotčeného subjektu. V průběhu kontroly může orgán vydávat celou škálu různých opatření od závazných pokynů, přes nařízení o provedení konkrétních doporučení, až po uložení sankcí za nedodržení povinností.
Ukládání sankcí obecně musí být v souladu s principy demokratického právního státu, tudíž by úřad měl postupovat s ohledem na zásadu proporcionality a při ukládání sankcí posuzovat konkrétní skutkové okolnosti.
V závislosti na závažnost porušení povinností a další okolnosti se však výše peněžité sankce může vyšplhat až na 7 milionů EUR, respektive 1,4 % z celkového celosvětového ročního obratu u důležitých subjektů, a až na 10 milionů EUR, respektive 2 % z celkového celosvětového ročního obratu, u základních subjektů, podle toho, která z částek je vyšší.
Zanechte nám e-mail a my Vás budeme informovat o tématech
souvisejících se směrnicí NIS 2. Nic Vám neunikne.
© Chrenek, Toman, Kotrba advokátní kancelář 2023