1. Obecné informace o směrnici NIS2
a budoucí národní úpravě


Evropská unie již v roce 2016 přijala směrnici o bezpečnosti sítí a informací, tzv. směrnici NIS. Celý její oficiální název zní Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016, o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii. Tím byl na unijní úrovni položen základ ke zvýšení bezpečnosti sítí a informačních systémů zajišťujících důležité služby napříč členskými státy. V České republice již v té době existoval zákon č. 181/2014 Sb., o kybernetické bezpečnosti, a proto muselo dojít k jeho novelizaci. Velkou výhodou pro Českou republiku bylo, že jako jeden z mála členských států měla v této oblasti díky zmíněnému zákonu zkušenosti, a mohla tudíž významně přispět k obsahu první směrnice NIS.

Nyní přichází Evropská unie s prohloubením a rozšířením tohoto rámce, a to prostřednictvím nové směrnice o kybernetické bezpečnosti – tzv. NIS2. Česká republika však v této souvislosti může těžit ze své výhody v podobě kvalitně zpracovaného zákona o kybernetické bezpečnosti, neboť velká část změn prezentovaných v NIS2 míří směrem k současné české regulaci.

K publikaci oficiálního znění směrnice NIS2 došlo dne 27. prosince 2022 v Úředním věstníku Evropské unie. Jak je ve směrnici samé uvedeno, dvacátým dnem od vyvěšení se stává směrnice platnou – toto datum tedy připadá na 16. ledna 2023. Platnost směrnice však neznamená, že subjekty spadající do její působnosti musí ihned začít plnit všechny povinnosti, které přináší. Nabytí platnosti směrnice totiž znamená především povinnost členského státu transponovat (převést) obsah jejího textu do národního práva. Transpoziční lhůta (tj. lhůta, ve které musí členské státy platnou směrnici promítnout do svého národního práva) je v případě směrnice NIS2 stanovena na 21 měsíců a počítá se právě od data jejího vstupu v platnost. Z toho plyne, že by Česká republika měla mít zaveden nový rámec povinností v národní legislativě (formou novelizace zákona o kybernetické bezpečnosti a některých dalších relevantních předpisů) do 17. října 2024. Další lhůta pak bude stanovena pro zahájení plnění nových povinností u těch organizací, které dosud regulaci kybernetické bezpečnosti nepodléhaly.

Bližší požadavky směrnice NIS2


Stěžejní změny v regulaci

NIS2 přináší řadu podstatných změn stávajícího regulatorního rámce, které se dotýkají jak strategické úrovně (jde zejména o povinnosti dopadající na NÚKIB a Evropskou agenturu pro bezpečnost sítí a informací (ENISA)), tak regulace povinných osob (tj. práv a povinností konkrétních subjektů, společností a státních organizací v České republice).

Mezi nejvýznamnější povinnosti z hlediska fungování NÚKIB a České republiky v oblasti zajišťování kybernetické bezpečnosti v Evropské unii patří:

  • Podle čl. 7 povinné přijetí národní strategie kybernetické bezpečnosti a kybernetických bezpečnostních politik pro vybrané oblasti (např. bezpečnost dodavatelského řetězce, koordinované zveřejňování informací o zranitelnostech, zvláštní potřeby malých a středních podniků);

    • každý členský stát přijme národní strategii kybernetické bezpečnosti, která stanovuje strategické cíle, zdroje potřebné k dosažení těchto cílů a příslušné politiky a regulační opatření s cílem dosáhnout vysoké úrovně kybernetické bezpečnosti a udržovat ji.

  • Podle čl. 12 koordinované zveřejňování informací o zranitelnostech a zřízení Evropské databáze zranitelností;

    • každý členský stát určí jeden ze svých týmů CSIRT (CERT) jakožto koordinátora za účelem koordinovaného zveřejňování zranitelností. Tento koordinátor usnadňuje interakci mezi fyzickou nebo právnickou osobou oznamující zranitelnost a výrobcem nebo poskytovatelem případných zranitelných ICT produktů nebo služeb. Agentura ENISA po konzultaci se skupinou pro spolupráci vytvoří a spravuje Evropskou databázi zranitelností.

  • Podle čl. 13 hlubší spolupráce s vnitrostátními úřady a organizacemi a koordinace dozorových činností u organizací, kterým plyne povinnost zajišťovat kybernetickou bezpečnost z více právních předpisů (např. v odvětvích energetiky, letectví nebo ochrany osobních údajů).

  • Podle čl. 14, 15 a 16 hlubší spolupráce s členskými státy v oblastech kybernetického krizového řízení, řešení rozsáhlých kybernetických bezpečnostních incidentů a sdílení strategických informací a dobré praxe.

  • Podle čl. 37 hlubší spolupráce s dozorovými orgány ostatních členských států na provádění kontrol a vymáhání dodržování uložených povinností;

    • cílem ustanovení nazvaného jako tzv. vzájemná pomoc je nastavit pravidla kontroly takovým způsobem, aby po obdržení odůvodněné žádosti poskytnul úřad vykonávající kontrolu kybernetické bezpečnosti v jednom členském státě pomoc druhému úřadu z jiného členského státu tak, aby bylo možné účinně, účelně a důsledně provést kontrolu, respektive opatření v oblasti dohledu nebo vymáhání.

  • V souladu s čl. 21 a 23 větší zapojení Evropské komise do sjednocení regulace v členských státech (např. formou jednotných metodik pro zavádění bezpečnostních opatření nebo jednotných formulářů pro hlášení incidentů);

    • Komise může přijmout prováděcí akty, kterými stanoví technické, metodické a případně odvětvově specifické požadavky, pokud jde o opatření k řízení kybernetických bezpečnostních rizik nebo upřesňující druh informací, formát a postup oznámení v případě výskytu kybernetického bezpečnostního incidentu.

Výhodou České republiky je, že celou řadu těchto činností již NÚKIB vykonává alespoň na základní úrovni. Mezi nejvýznamnější změny přímo dopadající na regulované organizace patří:

  • Podle čl. 2 rozšíření počtu povinných osob (odhady hovoří o nejméně 6 000 soukromých i státních organizacích), a to jednak rozšířením počtu regulovaných odvětví (např. odvětví odpadového hospodářství), dále rozšířením stávajících regulovaných odvětví o nové regulované služby (např. stávající odvětví digitální infrastruktury bude rozšířeno o nové regulované služby cloud computingu nebo poskytovatele služeb a sítí elektronických komunikací) a nebo změnou způsobu identifikace povinných osob (kdy primárním kritériem pro zařazení do regulace bude velikost organizace);

    • směrnice NIS2 se vztahuje na veřejné a soukromé subjekty, jejichž druhy jsou uvedeny v příloze I nebo II a které jsou považovány podle článku 2 přílohy Doporučení Komise 2003/361/ES za střední podniky, nebo které překračují stropy pro střední podniky a které poskytují služby nebo vykonávají činnosti v rámci Unie. Bez ohledu na jejich velikost se tato směrnice vztahuje také na subjekty, jejichž druh je uveden v příloze I nebo II a pro něž platí další pravidla uvedená v čl. 2.

  • Podle čl. 20 povinné vzdělávání vrcholového vedení organizace a větší odpovědnost managementu za zajišťování kybernetické bezpečnosti v organizaci;

    • členové řídících orgánů povinných osob musí absolvovat školení, aby tak získali dostatečné znalosti a dovednosti, umožňující jim správně identifikovat rizika a posoudit postupy řízení kybernetických bezpečnostních rizik a jejich dopad na poskytované služby.

  • Podle čl. 30 dobrovolné hlášení relevantních incidentů, událostí, hrozeb a zranitelností.

  • Podle čl. 27 a 28 podrobnější požadavky na vedení registru internetových domén nejvyšší úrovně a činnost registrátorů.

  • Podle čl. 29 větší důraz na sdílení informací mezi povinnými organizacemi.

  • Prohloubení spolupráce mezi regulátorem a povinnými organizacemi.

  • Podle čl. 34 významné zvýšení pokut za nedodržení uložených povinností:

    • v případě porušení povinností tzv. „essential entity“ (česky „základními subjekty“), pokuty, jejichž horní hranice sazby bude stanovena na nejméně 10 milionů EUR nebo na alespoň 2 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce, podle toho, co je vyšší;

    • v případě porušení povinností tzv. „important entity“ (česky „důležitými subjekty“) pokuty, jejichž horní hranice sazby bude stanovena na nejméně 7 milionů EUR nebo na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce, podle toho, co je vyšší.

Novinky ve směrnici NIS2, které jsou v českém právním řádu již obsaženy (a tedy nedojde k dramatickým změnám v obsahu regulace):

  • Podle čl. 32 a 33 větší pravomoci dozorových orgánů, např. k vydávání varování, reaktivních opatření, provádění auditů a kontrol, poskytování informací.

  • Podle čl. 10 a 11 větší požadavky na vybavenost CERT týmů (označovaných směrnicí CSIRT) a více pravomocí těchto týmů, např. monitoring hrozeb, zranitelností a incidentů, vydávání varování a upozornění, reakce na incidenty, forenzní analýza získaných údajů, aktivní skenování sítí a systémů.

  • Podle čl. 20 a 21 konkretizace bezpečnostních opatření, která jsou založena na přístupu zohledňujícím všechny druhy rizik (fyzické i kybernetické), jejichž cílem je chránit informační systémy před incidenty, která budou muset povinné osoby zavádět a která budou zahrnovat alespoň:

    • povinnost řídicích orgánů povinné osoby schválit opatření k řízení kybernetických bezpečnostních rizik,

    • analýzu rizik a politiky bezpečnosti informací,

    • zvládání incidentů,

    • kontinuitu činností (tj. business kontinuita), přičemž směrnice tento okruh ještě rozvádí o příklad zálohování, zotavení (disaster recovery) a krizové řízení,

    • bezpečnost v rámci dodavatelského řetězce,

    • bezpečnost v rámci pořízení, vývoje a údržby systémů,

    • politiky a postupy pro hodnocení účinnosti bezpečnostních opatření (tj. audit),

    • praktiky základní počítačové hygieny a vzdělávání v oblasti kybernetické bezpečnosti,

    • politiky a postupy týkající se využívání kryptografie a tam, kde je to vhodné, také šifrování,

    • bezpečnost lidských zdrojů, řízení přístupů a aktiv a

    • využívání vícefaktorového ověření identity, bezpečných komunikačních nástrojů a nástrojů pro nouzovou komunikaci.

Detailní požadavky budou stanoveny až v rámci nového českého zákona o kybernetické bezpečnosti.

  • Podle čl. 23 prohloubení spolupráce při hlášení kybernetických bezpečnostních incidentů (CERT tým má poskytnout adekvátní součinnost při zvládání a řešení incidentu a se zasaženou osobou má úzce spolupracovat).

Návrh národní úpravy


STĚŽEJNÍ ZMĚNY V REGULACI

NIS2 přináší řadu natolik podstatných změn stávajícího regulatorního rámce, že se NÚKIB rozhodl přistoupit k návrhu zcela nové regulace kybernetické bezpečnosti.

Základ této nové regulace tvoří zcela nový zákon o kybernetické bezpečnosti.

Návrh nového zákona o kybernetické bezpečnosti vychází jak ze znění dosavadního zákona č. 181/2014 Sb., o kybernetické bezpečnosti, tak především splňuje minimální požadavky dané obsahem směrnice NIS2 a navíc reflektuje zkušenosti a poznatky, které NÚKIB za dobu své existence shromáždil. Cílem návrhu nového zákona je také zjednodušit některé instituty a udělat předpis návodnější pro jeho adresáty.

Návrh nového zákona o kybernetické bezpečnosti sdružuje dosavadní roztříštěnou úpravu několika typů povinných osob do jedné – tzv. poskytovatele regulované služby (upraveno v Části první, Hlavě I a Hlavě II zmíněného návrhu).

Poskytovatel regulované služby musí naplňovat podmínky stanovené navrhovanou vyhláškou o regulovaných službách, kde pomocí samoidentifikace zjistí, pro jakou službu nebo služby je regulován. Následně se musí NÚKIBu sám ohlásit a je zaregistrován, případně s nám NÚKIB vede správní řízení, kde ho určí a následně zaregistruje.

Poskytovateli regulované služby navrhovaný zákon následně na základě jím poskytované regulované služby přiděluje tzv. režim povinností. Tyto režimy jsou dva – režim vyšších povinností a režim nižších povinností. Každý poskytovatel regulované služby bude ve výsledku spadat jen pod jeden z těchto režimů, který následně stanoví, jakým způsobem bude poskytovatel povinnosti plnit.

Obecné povinnosti všech poskytovatelů regulovaných služeb jsou:

  • vedle samotného ohlášení naplnění podmínek také povinnost hlásit kontaktní a další údaje – souvisí s navrhovanou vyhláškou o Portálu Úřadu,

  • stanovit rozsah řízení kybernetické bezpečnosti (má přímý vliv na následující povinnosti),

  • zavádět bezpečnostní opatření – souvisí s navrhovanou vyhláškou o bezpečnostních opatřeních pro poskytovatele regulované služby v režimu vyšších povinností nebo navrhovanou vyhláškou o bezpečnostních opatřeních pro poskytovatele regulované služby v režimu nižších povinností,

  • hlásit kybernetické bezpečnostní incidenty,

  • informovat zákazníky o incidentech a hrozbách,

  • provádět protiopatření, a podřídit se výkonu kontroly

  • V případě specifické úzké množiny nejvýznamnějších poskytovatelů regulovaných služeb, tzn. poskytovatelů strategicky významných služeb (což souvisí s vyhláškou o regulovaných službách, která stanovuje kritéria pro identifikaci strategicky významných služeb) nad rámec obecných povinností dále také

  • plnit povinnosti mechanismu řízení bezpečnosti dodavatelského řetězce v případě poskytovatelů strategicky významných služeb, a zajišťovat dostupnost strategicky významných služeb z území České republiky a pověřovat schopnost zajištění této dostupnosti.

Druhým, velmi specifickým, typem povinné osoby je subjekt poskytující službu registrace doménových jmen – u něj se uplatní povinnosti týkající se registrace doménových jmen plynoucí ze směrnice NIS2 (upraveno v Části první, Hlavě III). Zároveň platí, že pokud tento subjekt splní podmínky dle navrhované vyhlášky o regulovaných službách pro zařazení mezi poskytovatele regulovaných služeb, bude plnit i další povinnosti v závislosti na tom, do jakého režimu bude zařazen.

Návrh zákona dále popisuje další nástroje zajišťování kybernetické bezpečnosti. Těmi jsou výjimka z práva na informace a nová úprava stavu kybernetického nebezpečí (Hlava IV).

Hlava V upravuje instituce, které jsou do kybernetické bezpečnosti zapojeny – samotný NÚKIB, provozovatele Národního CERT (a pozici Národního CERT) a stávající Stálou komisi pro kontrolu činnosti NÚKIB. K tomu pak upravuje i patřičné nástroje – především evidence vedené NÚKIB a Portál NÚKIB.

Změn se dočkaly i sankce – změnila se výše stávajících pokut, a některé pokuty, stejně jako další druhy sankcí, byly zakotveny zcela nově (upraveno v Hlavě VI).

Společná a přechodná ustanovení (Část druhá) jsou pak shrnutím celé řady dalších podpůrných ustanovení, mimo jiné o součinnosti jiných orgánů veřejné moci.

Změny si vyžádají také některé další zákony – zákon o elektronických komunikacích, zákon o informačních systémech veřejné správy nebo, zákon o prověřování zahraničních investic, k čemuž dochází prostřednictvím návrhu doprovodného zákona, který obsahuje čistě legislativně-technické úpravy zmíněných předpisů.

Novým zákonem dojde ke zrušení celé dosavadní soustavy právních předpisů upravujících kybernetickou bezpečnost. Celou soustavu tudíž bude potřeba nastavit nově.

Na koho se tedy nové povinnosti vztahují? Jaká jsou kritéria stanovená pro poskytovatele regulované služby? Odpovědi na tyto otázky naleznete v dalším tématu. Pokračujte kliknutím na modrou šipku na pravé straně, nebo si vyberte jedno z dalších témat v níže uvedeném rejstříku.

Rejstřík témat
  1. Obecné informace o směrnici NIS2 a budoucí národní úpravě
  2. Koho se nové povinnosti týkají
  3. Rozdělení povinných organizací
  4. Povinnost zavádět bezpečnostní opatření
  5. Incidenty a způsob jejich hlášení
  6. Ohlášení regulované služby a komunikace s NÚKIB
  7. Způsob kontroly plnění povinností
  8. Sankce a donucovací prostředky
  9. Národní a mezinárodní spolupráce
  10. Další specifika úpravy v České republice
  11. Jak se připravit na novou právní úpravu
  12. Finanční aspekty návrhu nového zákona o kybernetické bezpečnosti