Směrnice NIS2: Další krok ke zlepšení kybernetické odolnosti

Řadí se vaše firma mezi střední a velké podniky a působí v některém z kritických odvětví, jako je energetika, doprava, zdravotnictví nebo digitální infrastruktura? Pokud ano, nové právní předpisy EU by mohly mít velký dopad na požadavky na kybernetickou bezpečnost vaší organizace.

Kybernetická bezpečnost je pro ochranu naší společnosti nesmírně důležitá, proto zavedla Evropská unie (EU) v roce 2016 vůbec první celoevropský právní předpis o kybernetické bezpečnosti – směrnici EU 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů (network and information systems – NIS). Tato evropská směrnice sice zajistila větší soudržnost v rámci EU v oblasti bezpečnosti sítí a informací, ale kybernetická odolnost se musí pro ochranu společnosti ještě zvýšit.

S rostoucí závislostí kritických odvětví na digitalizaci a jejich vyššímu vystavení kybernetickým hrozbám přichází revidovaná a vylepšená verze směrnice NIS. Směrnice NIS2 (EU 2022/2555) má širší rozsah a zaměřuje se na více odvětví, aby se vyrovnala a zvýšila kybernetická odolnost členských států EU.

Řízení rizik a spolupráce

Jak ale revidovaná směrnice zajistí lepší kybernetickou odolnost? Cílem NIS2 je zpřísnit uložené bezpečnostní požadavky, řešit bezpečnost dodavatelského řetězce, zefektivnit ohlašování incidentů, posílit opatření v oblasti dohledu a zavést požadavky na vymáhání práva s harmonizovanými sankcemi ve všech členských státech EU.

To také poukazuje na význam sdílení informací a (mezi)národní spolupráce v oblasti krizového řízení. Protože nejen digitální hrozby mohou ohrozit kontinuitu životně důležitých síťových a informačních systémů, NIS2 pokrývá rizika všeho druhu. Revidovaná směrnice tak dohlíží na přírodní i člověkem způsobená rizika, jako jsou mimo jiné přírodní katastrofy, teroristické zločiny a mimořádné události v oblasti veřejného zdraví, například pandemie.

Společně pro odolnou budoucnost

Dále směrnice zřizuje Evropskou síť styčných organizací pro řešení kybernetických krizí (EU-CyCLONe – The Cyber Crisis Liaison Organisation Network), která umožní spolupráci mezi vnitrostátními agenturami a orgány odpovědnými za kybernetickou bezpečnost v případě rozsáhlého kybernetického útoku v EU. Každý členský stát bude rovněž povinen jasně určit jednotné kontaktní místo pro hlášení kybernetických incidentů. Navíc odborníci získají prostor pro spolupráci, vzájemné učení se a zvyšování vzájemné důvěry mezi členskými státy.

Nové povinnosti, přidaná odvětví

Revidovaná směrnice NIS2 se týká mnohem více odvětví než původní směrnice o bezpečnosti sítí a informačních systémů, ta uváděla pouze zdravotnictví, dopravu, bankovnictví a infrastrukturu finančních trhů, digitální infrastrukturu, dodávky vody, energetiku a poskytovatele digitálních služeb, přičemž členské státy mohly samy určit, které organizace budou označeny za povinné.

NIS2 zavádí jednotná pravidla pro střední a velké subjekty působící v kritických odvětvích, jako je energetika, doprava, zdravotnictví a digitální infrastruktura. Zároveň zavádí nové povinnosti pro podniky v dalších klíčových odvětvích, jako je potravinářství, chemický průmysl, odpadové hospodářství, poštovní a kurýrní služby, výroba zdravotnických prostředků, státní správa apod.

Základní nebo důležité?

Způsob vymáhání se bude lišit podle kategorie, do kterých budou organizace spadat. Organizace lze označit jako základní nebo důležité. Hlavní rozdíl mezi základními a důležitými subjekty je v monitorování dodržování předpisů. U základních poskytovatelů, tedy především subjektů z životně důležitých odvětví, bude monitorování proaktivní. To znamená, že dodržování právních předpisů bude v těchto organizacích aktivně kontrolováno. V případě známek incidentu bude u klíčových poskytovatelů prováděn dohled. Pokud se po incidentu ukáže, že organizace nepřijala požadovaná opatření, budou tyto organizace čelit možným důsledkům nedodržení těchto právních předpisů.

Platí povinnosti také pro malé a střední podniky?

NIS2 zavádí „uplatňování pravidla velikostního limitu, podle něhož spadají do oblasti působnosti této směrnice všechny střední a velké podniky, jak jsou definovány v Doporučení Komise 2003/361/ES, které působí v odvětvích nebo poskytují druh služeb, na něž se vztahuje tato směrnice". Ačkoli jsou z povinnosti dodržovat nová pravidla vyloučeny malé podniky a mikropodniky, některé výjimky platí například pro malé a střední podniky v odvětvích sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací, a subjektů shromažďujících a udržujících přesnou a úplnou registraci názvu domén nejvyššího řádu (TLD).

Malé a střední podniky se kvůli omezeným bezpečnostním zdrojům stávají stále častěji terčem útoků dodavatelským řetězcem. Takové útoky na dodavatelský řetězec mohou mít kaskádový efekt na subjekty, kterým dodávají zboží nebo služby. Členské státy Unie by měly prostřednictvím svých vnitrostátních strategií kybernetické bezpečnosti pomáhat malým a středním podnikům řešit problémy, kterým čelí jejich dodavatelské řetězce. Zároveň by měly mít kontaktní místo na vnitrostátní nebo regionální úrovni, které by malým a středním podnikům poskytovalo poradenství a pomoc nebo je nasměrovalo na příslušné subjekty, které jim poradenství a pomoc v otázkách souvisejících s kybernetickou bezpečností poskytnou.

Dopady a platnost NIS2

V současné podobě hrozí organizacím, které nedodrží tyto předpisy, mimo jiné, pokuty a pozastavení činnosti. Pokuty mohou být uděleny až do výše 10 milionů eur nebo 2 % celkového ročního celosvětového obratu společnosti (podle toho, která částka je vyšší) a osoby s příslušnými pravomocemi nebo řídícími funkcemi mohou být nuceny k osobní odpovědnosti.

Směrnice NIS2 byla 27.12.2022 vydána v evropském Úředním věštníku a její platnost začala 21 dní od tohoto data. Od 16. ledna 2023 potom začala transpoziční lhůta, během které členské státy EU musí implementovat NIS2 do své národní legislativy - v ČR formou nového Zákona o kybernetické bezpečnosti a některých dalších relevantních předpisů.

Členské státy Unie mají na implementaci směrnice lhůtu 21 měsíců. tj. do září 2024. Poté bude stanovena lhůta pro plnění nových povinností u organizací, které dosud regulaci kybernetické bezpečnosti nepodléhaly. Přesto by organizace měly být včas připraveny na proces implementace, aby si mohly vyzkoušet různé osvědčené postupy týkající se řešení incidentů, kontrolních politik a postupu hlášení.

NIS2 definuje minimální společnou úroveň kybernetické bezpečnosti v Evropě, kterou bychom měli vnímat jako pevnou půdu pod nohama, nikoli jako strop.