3. Rozdělení povinných organizací


Díky předchozímu tématu již máme představu o tom, kdo bude regulován v rámci směrnice NIS2, resp. návrhu nového zákona o kybernetické bezpečnosti. Na to ovšem navazuje otázka, jakým způsobem vlastně bude regulace provedena?

V současné době jsou povinné osoby zákonem o kybernetické bezpečnosti rozděleny do celé řady kategorií. Tyto kategorie mají svá specifika a rozdíly. Směrnice NIS2 přináší nově dvě kategorie, ve kterých se regulovaný subjekt může nacházet. První kategorie se nazývá „základní subjekt“, přičemž tyto povinné osoby mají být tím nejdůležitějším, co bude v rámci regulace chráněno. Druhou skupinou mají být povinné osoby v kategorii „důležitý subjekt“. Rozdíly mezi nimi jsou dány rozdílnou mírou rizika, která by měla být zohledněna při zavádění požadavků k řízení kyberbezpečnostních rizik, a rozdílným způsobem kontroly dodržování stanovených požadavků.

Bližší požadavky směrnice NIS2

Stejně jako stanovení toho, kdo spadá pod regulaci směrnice NIS2, je i stanovení kategorie regulované organizace svázáno několika pravidly.

Univerzálním pravidlem podle čl. 3 odst. 1 písm. a) směrnice NIS2 je, že do kategorie „základní subjekt“ spadá taková organizace, která poskytuje některou ze služeb uvedených v příloze I směrnice a zároveň je velkou organizací (slovy českého překladu směrnice NIS2 „překračují stropy pro střední podniky stanovené v čl. 2 odst. 1 přílohy doporučení 2003/361/ES“). Zrcadlově k tomu, střední organizace, jejíž služba je uvedená v příloze I, nebo střední a velká organizace, jejíž služba je uvedená v příloze II, spadá do kategorie „důležitý subjekt“ (podle čl. 3 odst. 2).

harmonogram

I z tohoto univerzálního pravidla však existují výjimky – tyto výjimky jsou uvedeny v dalších písmenech odst. 1 v rámci článku 3 směrnice.

Některé organizace jsou díky službě, kterou poskytují, zařazeny do regulace bez ohledu na svou velikost. Jde zejména o poskytovatele služeb DNS, subjekty spravující registr internetových domén nejvyšší úrovně nebo veřejnou správu. Zde tedy velikost nehraje roli (není podstatná) a zařazení těchto služeb v dané kategorii je stanoveno přímo.

Vedle toho dává směrnice NIS2 členským státům možnost určit některým organizacím, jejichž služby by byly v kategorii „důležitý subjekt“, přísnější kategorii „základní subjekt“.

Návrh národní úpravy

Správné stanovení režimu poskytovatele regulované služby je pro organizaci velmi důležité.

Návrh zákona stanovuje dva režimy – režim vyšších povinností a režim nižších povinností. Tyto režimy jsou odrazem nového principu tzv. dvourychlostní kybernetické bezpečnosti, jehož cílem je ulehčit menším organizacím od přísných pravidel. Na organizace v režimu vyšších povinností jsou tak kladeny vyšší požadavky než na organizace v režimu nižších povinností.

Jedna organizace (vymezená identifikačním číslem osoby, tzv. IČO) má za každých okolností vždy jen jeden režim poskytovatele regulované služby.

Pokud organizace naplní v rámci celého navrhovaného zákona o kybernetické bezpečnosti podmínky pro registraci jen pro jednu jedinou regulovanou službu, zjistí bezproblémově svůj režim pomocí přílohy vyhlášky o regulovaných službách.

Jak číst přílohu návrhu vyhlášky o regulovaných službách v případě naplnění podmínek pro jedinou regulovanou službu?

regulovaná služba

Jak víme z příkladu v předchozím tématu, Společnost X je vodárenskou společností. Z tohoto důvodu nás v jejím případě zajímalo v návrhu vyhlášky o regulovaných službách především odvětví 10. Vodní hospodářství. Při analýze jsme zjistili, že Společnost X je velikostí střední podnik, nicméně také zásobuje pitnou vodou více než 50 000 obyvatel. Tyto informace nás vedou ke dvěma závěrům:

• Společnost X naplňuje podmínku velikosti středního podniku, a proto návrh vyhlášky uvádí, že její režim poskytovatele regulované služby bude režim nižších povinností.

• Zároveň ale Společnost X naplňuje podmínku zásobování pitnou vodou alespoň 50 000 obyvatel, a proto návrh vyhlášky uvádí, že její režim poskytovatele regulované služby bude režim vyšších povinností (i když není velikostně velkým podnikem, má již větší dopad na obyvatele České republiky).

Protože ale Společnost X nemůže naplňovat dva různé režimy poskytovatele regulované služby, uvádí návrh vyhlášky o regulovaných službách, že „V případě, že poskytovatel regulované služby naplní v souvislosti s jednou regulovanou službou zároveň podmínky významnosti poskytovatele regulované služby odpovídající režimu vyšších i nižších povinností, je režimem poskytovatele regulované služby pro tuto regulovanou službu režim vyšších povinností.“. Režim Společnosti X je tedy režim vyšších povinností.

Jak ale postupovat v případě, kdy organizace splní podmínky pro registraci více regulovaných služeb zároveň?

Postup je v tomto případě velmi podobný, jen je potřeba jej provést u každé z těchto služeb a následně doplnit o jeden další krok. Protože návrh nového zákona o kybernetické bezpečnosti předpokládá, že organizace má vždy jen jeden režim poskytovatele regulované služby, stanovuje, že pokud organizace alespoň v rámci jedné regulované služby dosáhne na režim vyšších povinností, použije se tento režim na všechny regulované služby v organizaci.

Společnost X tak v našem případě vedle regulované služby Provozování vodovodu v odvětví 10. Vodní hospodářství, poskytuje také službu Výroba elektřiny, podle odvětví 2. Energetika – Elektřina. V rámci této druhé služby nenaplňuje žádné jiné podmínky než podmínku velikosti středního podniku, což by naznačovalo režim nižších povinností vůči této službě. Protože se však režimy nevztahují na jednotlivé služby, ale na poskytovatele jako na celek, bude na základě pravidel uvedených výše režim Společnosti X jako celku režim vyšších povinností a podle toho bude tak společnost plnit povinnosti vůči svým regulovaným službám – Provozování vodovodu a Výroba elektřiny.

Smyslem výše uvedených pravidel je docílit, aby organizace přijímala v rámci své kybernetické bezpečnosti jednotná pravidla. Princip dvourychlostní kybernetické bezpečnosti, uvedený výše, vede k tomu, že výskyt obou režimů v jedné organizaci by byl nevhodný a velmi těžce aplikovatelný.

Nyní je tedy jasné, že na jednotlivé organizace spadající pod navrhovanou regulaci se mohou vztahovat rozdílná pravidla. Důležitým krokem pro pochopení toho, jaké konkrétní požadavky budou na danou organizaci kladeny, je stanovení režimů poskytovatele regulované služby. A právě o těchto požadavcích jsou následující témata.

Pokračujte kliknutím na modrou šipku na pravé straně, nebo si vyberte jedno z dalších témat v níže uvedeném rejstříku.

Rejstřík témat
  1. Obecné informace o směrnici NIS2 a budoucí národní úpravě
  2. Koho se nové povinnosti týkají
  3. Rozdělení povinných organizací
  4. Povinnost zavádět bezpečnostní opatření
  5. Incidenty a způsob jejich hlášení
  6. Ohlášení regulované služby a komunikace s NÚKIB
  7. Způsob kontroly plnění povinností
  8. Sankce a donucovací prostředky
  9. Národní a mezinárodní spolupráce
  10. Další specifika úpravy v České republice
  11. Jak se připravit na novou právní úpravu
  12. Finanční aspekty návrhu nového zákona o kybernetické bezpečnosti