Původní směrnice NIS stanovila pouze obecně, že povinné osoby mají zajistit vhodná a přiměřená technická organizační opatření k ošetření rizik a zabránění incidentům. Směrnice NIS2 jde prostřednictvím čl. 20 a 21 více do detailu.

Organizace, na které se směrnice NIS2 vztahuje, mají povinnost zavádět a provádět bezpečnostní opatření. Tuto povinnost mají organizace nehledě na to, zda jsou v kategorii „základních subjektů“ nebo „důležitých subjektů“.

Směrnice NIS2 v čl. 20 zdůrazňuje odpovědnost vedení organizací za schválení a zavádění bezpečnostních opatření ke snížení rizik pro kybernetickou bezpečnost. Součástí těchto požadavků je také to, že vedení organizací má povinnost osobně absolvovat školení na téma kybernetické bezpečnosti a podporovat v těchto školeních také své zaměstnance.

Dále směrnice v čl. 21 stanovuje okruhy bezpečnostních opatření, které mají členské státy rozpracovat ve svých právních předpisech a uložit je budoucím povinným osobám.

Těmito okruhy jsou:

1. Analýza rizik a politiky bezpečnosti informací;
2. Zvládání incidentů;
3. Kontinuita činností (tj. business kontinuita), přičemž směrnice tento okruh ještě rozvádí o příklad zálohování, zotavení (disaster recovery) a krizové řízení;
4. Bezpečnost v rámci dodavatelského řetězce;
5. Bezpečnost v rámci pořízení, vývoje a údržby systémů;
6. Politiky a postupy pro hodnocení účinnosti bezpečnostních opatření (tj. audit);
7. Praktiky základní počítačové hygieny a vzdělávání v oblasti kybernetické bezpečnosti;
8. Politiky a postupy týkající se využívání kryptografie a tam, kde je to vhodné, také šifrování;
9. Bezpečnost lidských zdrojů, řízení přístupů a aktiv;
10. Využívání vícefaktorového ověření identity, bezpečných komunikačních nástrojů a nástrojů pro nouzovou komunikaci.

NIS2 umožňuje, aby tyto okruhy pro kategorie „základních subjektů“ a „důležitých subjektů“ byly přizpůsobeny tak, že povinnosti stanovené organizacím v kategorii „důležitých subjektů“ budou méně přísné než v případě kategorie „základních subjektů“. To povede ke vzniku minimálně dvou sad pravidel (tedy zavedení principu tzv. dvourychlostní kybernetické bezpečnosti).

Směrnice NIS2 ukládá v čl. 21 odst. 5 Evropské komisi pravomoc kdykoliv v budoucnu upřesňovat technicky a metodicky výše uvedené okruhy. Vedle povinnosti plnit bezpečnostní opatření existuje v souladu s čl. 24 do budoucna také možnost pro Evropskou komisi a Českou republiku stanovit, že povinné osoby mají mít pro svou službu certifikaci nebo mají využívat pouze certifikované produkty, služby nebo procesy. V takovém případě by pak certifikace mohla dokládat nebo nahrazovat plnění bezpečnostních opatření.

Před zaváděním bezpečnostních opatření (stejně tak jako před plněním dalších povinností plynoucích ze zákona o kybernetické bezpečnosti) je potřeba stanovit v organizaci tzv. rozsah řízení kybernetické bezpečnosti. Stanovení rozsahu je zcela neopomenutelným krokem v rámci celé právní úpravy kybernetické bezpečnosti. Součástí stanovení rozsahu je také vedení dokumentovaných záznamů o určení a aktiv, resp. evidence primárních a podpůrných aktiv. Zkušenosti ukazují, že přestože je pro potřebu komplexní ochrany regulované služby potřeba řešit kybernetickou bezpečnost v celé organizaci, nebo alespoň v té části organizace, která zajišťuje poskytování regulované služby, zpravidla tomu tak nebývá. Návrh zákona proto přichází s explicitním požadavkem na stanovení rozsahu a s presumpcí, že pokud poskytovatel regulované služby tento krok vůbec neprovede, nebo o něm nebude existovat žádný dokumentovaný záznam, jsou veškerá neposouzená primární i podpůrná aktiva součástí stanoveného rozsahu.

Po stanovení rozsahu je již možné začít zvažovat bezpečnostní opatření. Návrh zákona přináší díky principu dvourychlostní kybernetické bezpečnosti dvě samostatné a na sobě nezávislé sady pravidel (bezpečnostních opatření), které odpovídají danému režimu poskytovatele regulované služby. Tato pravidla jsou stanovena samostatnými vyhláškámi, jejichž názvy v sobě za účelem maximalizace přehlednosti nové regulace zahrnují přímé označení příslušného režimu.

Poskytovatel regulované služby v režimu vyšších povinností zavádí bezpečnostní opatření daná obsahem návrhu vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností.

Bezpečnostní opatření stanovená pro režim vyšších povinností vycházejí z dosavadní právní úpravy – z obsahu vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti. Jedná se o praxí prověřený a řadu let používaný právní předpis, který v této nové úpravě doznává jen drobných změn a upřesnění. Stále vychází ze základních principů systému řízení bezpečnosti informací (z angl. Information Security Management System).

Pro organizace, které se poskytovateli regulované služby stanou nově a doposud bezpečnostní opatření nezaváděly, je možno shrnout, že principem systému řízení bezpečnosti informací je zavádění přiměřených bezpečnostních opatření a vést organizaci k tomu, aby si zmapovala své prostředí, identifikovala, co všechno potřebuje pro zajištění chodu své regulované služby, vyhodnotila si rizika, která mohou službu ohrozit a zavedla přiměřená opatření, kterými daná rizika sníží na akceptovatelnou úroveň.

Specifičtější je návrh právní úpravy pro poskytovatele regulované služby v režimu nižších povinností.

Poskytovatel regulované služby v režimu nižších povinností zavádí bezpečnostní opatření daná obsahem návrhu vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností.

Cílem návrhu nové vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností bylo uložit těmto organizacím pravidla, která budou jednodušší, méně náročná a nebudou vyžadovat větší než nezbytně nutnou míru analýzy. Limitem zjednodušování tohoto předpisu je však obsah čl. 20 a 21 směrnice NIS2 (viz výše), jejichž splnění muselo být dosaženo, a proto i tato vyhláška stanovuje některá bezpečnostní opatření takovým způsobem, že se svým obsahem přibližuje vyhlášce pro vyšší režim povinností. Snahou NÚKIB však bylo, aby takových míst bylo minimum.

Na tomto místě je potřeba zmínit také dvě stěžejní informace. Bezpečnostní opatření jsou definována v § 4 až 14 této vyhlášky. V rámci zavádění bezpečnostních opatření poskytovatel regulované služby musí zavést neopominutelná bezpečnostní opatření uvedená v § 4 odst. 2 až 7 (Systém zajišťování kybernetické bezpečnosti), § 5 (Požadavky na vrcholné vedení), § 6 (Bezpečnost lidských zdrojů) a § 11 (Řešení kybernetických bezpečnostních incidentů). U ostatních bezpečnostních opatření uvedených v § 8, § 9, § 10, § 12, § 13, § 14 může poskytovatel regulované služby rozhodnout, že některá bezpečnostní opatření aktuálně není možné z relevantních důvodů zavést, avšak toto nezavedení musí řádně zdůvodnit v přehledu bezpečnostních opatřeních, vč. termínů jejich plánovaného zavedení, určení priority a odpovědné osoby. Pokud některé z bezpečnostních opatření není trvale možné zavést (např. není relevantní), je nutné toto nezavedení rovněž řádně zdůvodnit v přehledu bezpečnostních opatření.

Pozornému čtenáři také neunikne, že v obsahu návrhu zákona nebo obsahu návrhu vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností, zdánlivě absentuje řízení rizik u poskytovatelů v režimu nižších povinností. Obsah směrnice NIS2 nestanovuje, jakým způsobem by přesně měla být rizika pro tyto subjekty stanovena. Z tohoto důvodu v rámci dvourychlostní kybernetické bezpečnosti a ulehčení poskytovatelům regulovaných služeb v režimu nižších povinností dostál návrh nového zákona o kybernetické bezpečnosti splnění požadavku směrnice NIS2 na to, že „členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž čelí (…)“, tím způsobem, že opatření k řešení rizik plynoucích pro organizace v režimu nižších povinností jsou jak rozloženy v rámci ustanovení o zavádění bezpečnostních opatření, tak NÚKIB vyhodnotil rizika plynoucí pro tyto organizace obecným způsobem již při stanovování obsahu návrhu této vyhlášky.

Poskytovatele regulovaných služeb v odvětví digitální infrastruktury a služeb se při zavádění bezpečnostních opatření řídí § 18 odst. 1 návrhu zákona o kybernetické bezpečnosti a prováděcím předpisem Evropské komise vydaným na základě směrnice NIS2. Konkrétně jde o poskytovatele služby překladu doménových jmen (DNS),služby vytvářející důvěru, služby správy a provozu registru domény nejvyšší úrovně (TLD), služby cloud computingu, služby datového centra, služby sítě pro doručování obsahu (CDN), služby on-line tržiště, služby služby internetového vyhledávače, služby platformy sociální sítě, řízené služby (MSP) a řízené bezpečnostní služby (MSSP). Bližší informace ke speciálním pravidlům pro tuto množinu poskytovatelů regulovaných služeb lze najít v § 18 návrhu nového zákona o kybernetické bezpečnosti. Návrh unijního prováděcího předpisu byl zatím podroben veřejným konzultacím a bude v průběhu legislativního procesu dále upravován.

1. Obecné informace o směrnici NIS2 a budoucí národní úpravě
2. Koho se nové povinnosti týkají
3. Rozdělení povinných organizací
4. Povinnost zavádět bezpečnostní opatření
5. Incidenty a způsob jejich hlášení
6. Ohlášení regulované služby a komunikace s NÚKIB
7. Způsob kontroly plnění povinností
8. Sankce a donucovací prostředky
9. Národní a mezinárodní spolupráce
10. Další specifika úpravy v České republice
11. Jak se připravit na novou právní úpravu
12. Finanční aspekty návrhu nového zákona o kybernetické bezpečnosti