2. Koho se nové povinnosti týkají


Dosavadní regulace kybernetické bezpečnosti byla v České republice koncipována pro poměrně úzkou skupinu několika stovek nejdůležitějších a nejvýznamnějších organizací s velkým dopadem na celou společnost. Směrnice NIS2 přináší nový pohled a pro Českou republiku nutnost přizpůsobit se těmto změnám.

Provázanost fungování společnosti jako celku a organizací v ní působících je již tak velká, že prakticky neexistuje odvětví, kde by informační systémy nehrály významnou roli. Z tohoto důvodu již ani směrnice NIS2 nehledá systémy důležité pro společnost, ale požaduje zabezpečit vše, co souvisí s poskytováním služeb potřebných pro její fungování.

Tyto služby uvádí směrnice NIS2 ve svých přílohách, které představují základní rozcestník pro pochopení toho, kdo pod regulaci směrnice spadá a kdo ne.

Pohledem do příloh č. I a II směrnice NIS2 se dozvíme, že kybernetická bezpečnost se má zajišťovat např. při výrobě elektřiny, poskytování zdravotní péče, poskytování služeb elektronických komunikací, ale také u dalších více než 60 služeb roztříděných do 18 odvětví. Lepší představu získáte v tomto grafickém znázornění.

Znamená to tedy, že každý, kdo poskytuje uvedenou službu, je povinen se směrnicí NIS2 řídit? Ne tak úplně.

Bližší požadavky směrnice NIS2

Směrnice NIS2 v souladu s čl. 2 nepočítá s tím, že by ukládala povinnosti úplně každému, kdo danou službu poskytuje. Vývoj dovedl její tvůrce k tomu, že primárním způsobem stanovení, jestli soukromá nebo veřejná organizace spadá pod regulaci směrnice, je současné naplnění následujících dvou pravidel:

  • organizace poskytuje alespoň jednu službu uvedenou v přílohách směrnice a zároveň
  • je středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK).

První pravidlo tak odpovídá tomu, že se regulují odvětví a služby důležité pro společnost. Druhé pravidlo pak říká, že ne každý, kdo takovou službu poskytuje, je dostatečně velký a významný, aby byla regulace přiměřená i v jeho případě. Pokud je však někdo středním nebo velkým podnikem (směrnice zde odkazuje na Doporučení Komise 2003/361/ES z 6. května 2003, oficiální český překlad doporučení je k dispozici ve Sbírce zákonů a Sbírce mezinárodních smluv), je již podle tvůrců směrnice dostatečně důležitým pro to, aby regulace byla v jeho případě opodstatněná.

Důležité

Speciální pozornost při posuzování velikosti podniku podle výše uvedeného evropského předpisu je potřeba věnovat přičítání velikosti dalších organizací k velikosti posuzované organizace v rámci kategorií tzv. partnerských nebo propojených podniků. Především v případě koncernového řízení to může v praxi znamenat, že dceřiná společnost, která by sama o sobě byla velikostí malým podnikem, bude při připočtení velikosti mateřské společnosti např. středním nebo velkým podnikem. Pomůcku k posuzování velikosti podniků naleznete zde.

Velikost organizace ve spojení se službou je sice primárním způsobem určení, ale také není jediným.

U některých vyjmenovaných služeb je však stanoveno, že pod regulaci směrnice NIS2 budou přeci jen spadat všechny organizace, nehledě na jejich velikost. To se například týká poskytovatelů služeb elektronických komunikací, poskytovatelů služeb vytvářejících důvěru nebo poskytovatelů služeb DNS. V těchto případech se tedy velikostní kritérium nepoužije a regulovány budou všechny organizace, které tyto služby poskytují.

Směrnice NIS2 počítá také s tím, že si členské státy stanoví regulaci takovým způsobem, že využijí dodatečných kritérií a vztáhnou regulaci kybernetické bezpečnosti na organizace, které poskytují služby uvedené v přílohách a zároveň nehledě na jejich velikost např.:

  • jsou výhradními poskytovateli služby, která má zásadní význam pro zachování kritických společenských nebo hospodářských činností,
  • by narušení jejich služby mohlo mít významný dopad na veřejný pořádek, veřejnou bezpečnost nebo ochranu zdraví,
  • by narušení jejich služby mohlo vyvolat významné systémové riziko, zejména s přeshraničním dopadem.

Posledním specifickým způsobem určení je propojení směrnice NIS2 s tzv. směrnicí CER, tedy směrnicí Evropského parlamentu a Rady o odolnosti kritických subjektů. Zde platí pravidlo, že kdo bude budoucí povinnou osobou podle směrnice CER, bude automaticky také povinnou osobou podle směrnice NIS2.

Toto jsou základní požadavky směrnice NIS2 na to, kdo má být regulovanou osobou. Pro českou právní úpravu tvoří tyto požadavky minimální úroveň – základní vstup do toho, jaká kritéria je potřeba novým zákonem o kybernetické bezpečnosti, resp. novou vyhláškou o regulovaných službách stanovit pro určení budoucích povinných osob.

Návrh národní úpravy

Dosavadní znění zákona o kybernetické bezpečnosti stanovovalo regulované osoby v rámci § 3. Řadou různých novelizací došlo toto ustanovení do stavu, kdy se organizace s více systémy mohla teoreticky vyskytovat až ve třinácti různých kategoriích, což nejen znesnadňovalo pochopení zákona a orientaci v něm, ale bylo ve výsledku příliš složité a nepraktické.

Návrh nového zákona o kybernetické bezpečnosti si proto klade za cíl maximálně zjednodušit pohled na povinné osoby a skutečnost, že při tom musí plnit požadavky dané směrnicí NIS2, této snaze pomáhá. Zavádí se proto jediný typ povinné osoby a tou je tzv. „poskytovatel regulované služby“.

Poskytovateli regulované služby, jeho stanovení a jeho povinnostem se věnuje celá Hlava II návrhu nového zákona. Poskytovatelem regulované služby je kdokoliv, kdo poskytuje alespoň jednu regulovanou službu. Regulovanou službou je služba, která splňuje podmínky pro registraci regulované služby.

Podmínky pro registraci regulované služby lze nalézt v příloze vyhlášky o regulovaných službách. V případě odvětví vymezených v § 4 odst. 1 písm. a) provádí poskytovatel samoidentifikaci, kdy pomocí vyhlášky o regulovaných službách posoudí, zda poskytuje relevantní službu a splňuje podmínky významnosti. Vyhodnotí-li poskytovatel, že splňuje podmínky pro registraci, provede skrze Portál NÚKIB ohlášení regulované služby a Úřad následně provede jeho registraci.

Další možností je určení regulované služby Úřadem v rámci správního řízení zahájeného z moci úřední. Je-li v řízení zjištěno splnění podmínek podle § 5 návrhu zákona, rozhodne Úřad o registraci regulované služby. V tomto případě bude poskytovatel regulované služby vždy v režimu vyšších povinností.

Pro detailní informaci, koho se nové povinnosti týkají, nahlédněte  do návrhu vyhlášky o regulovaných službách. Příloha této vyhlášky obsahuje kompletní seznam nově regulovaných odvětví a služeb.

Jak číst přílohu vyhlášky o regulovaných službách (příklad)?

regulovaná služba

Pro lepší vysvětlení si představme Společnost X, která je vodárenskou společností. Protože je ve vyhlášce o regulovaných službách uvedeno také odvětví 10. Vodní hospodářství, klade si otázku, zda je nebo není poskytovatelem regulované služby. Tato společnost z povahy své činnosti provozuje vodovod a naplňuje definici provozovatele vodovodu podle § 2 odst. 5 zákona č. 274/2001 Sb., o vodovodech a kanalizacích. Tím je naplněn první předpoklad – tedy, že společnost vykonává jednu ze služeb, o kterých vyhláška pojednává. Zároveň naplňuje také první definiční znak – je provozovatelem vodovodu podle příslušného odvětvového zákona. Pod zákon o kybernetické bezpečnosti však v případě služby 10.1. Provozování vodovodu nespadají všichni provozovatelé vodovodu. Je potřeba, aby Společnost X naplňovala ještě druhou podmínku – byla buď středním podnikem, velkým podnikem (pomůcku k posuzování velikosti podniků naleznete zde) nebo zásobovala pitnou vodou alespoň 50 000 obyvatel (nehledě na svou velikost). Teprve v takovém případě naplňuje dané podmínky, a protože se jedná o samoidentifikaci podle přílohy vyhlášky o regulovaných službách, a tedy kritéria pro identifikaci, nahlásí se na NÚKIB. Nad rámec výše uvedeného je potřeba, aby vodárenská společnost, Společnost X, posoudila také případné naplnění podmínek u dalších jiných regulovaných služeb – regulována nemusí být jen hlavní činnost Společnosti, ale regulovanou službou je jakákoliv služba, která je ve vyhlášce stanovena a organizace ji vykonává.

NÚKIB bude spolupracovat s odvětvovými regulátory a informace o poskytovatelích regulované služby bude sám vyhledávat a tyto organizace bude upozorňovat na potřebu ohlášení. Tato činnost však nenahrazuje povinnost organizace se sama ohlásit, pokud naplní podmínky pro registraci.

Po naplnění podmínek pro registraci je potřeba provést tzv. ohlášení. Smyslem ohlášení, tak jak ho upravuje návrh nového zákona o kybernetické bezpečnosti, je informovat NÚKIB o tom, že organizace naplňuje stanovené podmínky. Ohlášení je nezbytné provést nejpozději do 60 dnů ode dne, kdy došlo ke splnění podmínek pro registraci regulované služby.

Úřad po ohlášení vydá rozhodnutí o registraci regulované služby, které je poskytovateli doručeno prostřednictvím datové schránky, případně jinými způsoby v souladu se správním řádem. Teprve doručením tohoto rozhodnutí o registraci začínají poskytovateli regulované služby běžet zákonné lhůty pro splnění povinností (např. pro zavedení bezpečnostních opatření).

Všechny tyto lhůty znázorňuje následující schéma:

schéma - lhůty

V neposlední řadě je potřeba uvést, že návrh zákona se vedle poskytovatelů regulovaných služeb (o nichž pojednávají tyto stránky především) vztahuje také v určitých povinnostech na tzv. významné dodavatele nebo subjekty poskytující služby registrace doménových jmen.

Nyní již víme, že směrnice NIS2 počítá s velmi širokou regulací a ve vyhlášce o regulovaných službách je možné si prohlédnout návrh budoucích kritérií. Znamená to však, že budou mít všechny organizace stejné povinnosti? Ne, protože směrnice NIS2 zavádí v čl. 3 dvě kategorie (tzv. kategorie „základních subjektů“ a „důležitých subjektů“), přičemž návrh nového zákona o kybernetické bezpečnosti přejímá tento koncept do podoby tzv. režimů poskytovatele regulované služby. Toto dělení je blíže popsáno v následujícím tématu Rozdělení povinných organizací.

Pokračujte kliknutím na modrou šipku na pravé straně, nebo si vyberte jedno z dalších témat v níže uvedeném rejstříku.

Materiály ke stažení
Rejstřík témat
  1. Obecné informace o směrnici NIS2 a budoucí národní úpravě
  2. Koho se nové povinnosti týkají
  3. Rozdělení povinných organizací
  4. Povinnost zavádět bezpečnostní opatření
  5. Incidenty a způsob jejich hlášení
  6. Ohlášení regulované služby a komunikace s NÚKIB
  7. Způsob kontroly plnění povinností
  8. Sankce a donucovací prostředky
  9. Národní a mezinárodní spolupráce
  10. Další specifika úpravy v České republice
  11. Jak se připravit na novou právní úpravu
  12. Finanční aspekty návrhu nového zákona o kybernetické bezpečnosti