Nové směrnice NIS 2: Kdo, jak a proč?

Cílem nové úpravy jsou především tyto body:

• Zvýšit úroveň kybernetické bezpečnosti a odolnosti
• Zlepšit schopnost reagovat na incidenty v oblasti kybernetické bezpečnosti
• Sjednotit pravidla napříč členskými státy
• Zlepšit úroveň společného situačního povědomí a kolektivní schopnosti připravit se a reagovat v případě rozsáhlého incidentu nebo krize
• Rozšířit regulaci na další subjekty

Zejména poslední uvedený bod – rozšíření regulace na další subjekty – bude znamenat více povinností pro společnosti působící v odvětvích, které jsou v rámci vnitřního trhu EU klíčové.

Nové rozdělení povinných subjektů

Dosud se povinnosti dle platné a účinné směrnice NIS vztahují na dvě skupiny subjektů – na tzv. provozovatele základních služeb (např. energetika, doprava, zdravotnictví, dodávky pitné vody) a poskytovatele digitálních služeb (online tržiště, internetové vyhledávače, služby cloud computingu). Tyto subjekty musí ze zákona zavádět fungující systém kybernetické bezpečnosti, který zahrnuje například postupy pro zvládání kybernetických bezpečnostních incidentů.

Směrnice NIS 2 však dotčené oblasti rozšiřuje a zároveň mění i terminologii. Místo dělení subjektů na provozovatele základních služeb a poskytovatele digitálních služeb mají být nově subjekty děleny na základní a důležité, a to podle kritičnosti daného odvětví/služby a také podle míry závislosti ostatních odvětví.

Základní subjekty

• Mezi základní subjekty budou řazeny vybrané subjekty označené výše jako provozovatelé základních služeb dle směrnice NIS a k tomu navíc také:
• energetika: pododvětví dálkového vytápění a chlazení, výroba a distribuce vodíku;
• zdravotnictví: referenční laboratoře EU, subjekty provádějící výzkum a vývoj léčivých přípravků, subjekty vyrábějící základní farmaceutické výrobky a přípravky a zdravotnické prostředky považované za kritické v případě ohrožení veřejného zdraví;
• vodohospodářství: odpadní vody;
• digitální infrastruktura: poskytovatelé služeb cloud computingu, služeb datových center, sítí pro doručování obsahu, služeb vytvářejících důvěru, veřejných sítí elektronických komunikací, služeb elektronických komunikací (jsou-li jejich služby veřejně dostupné);
• veřejná správa: ústřední subjekty veřejné správy, orgány samosprávy;
• vesmír: pozemní infrastruktury podporující využívání kosmického prostoru.

Důležité subjekty

Pokud jde o důležité subjekty, sem budou patřit následující odvětví:

• poštovní a kurýrní služby;
• nakládání s odpady;
• výroba, produkce a distribuce chemických látek;
• výroba, zpracování a distribuce potravin;
• výroba (zdravotnických prostředků a diagnostických zdravotnických prostředků in vitro; počítačů, elektronických a optických přístrojů a zařízení; elektrických zařízení; strojů a zařízení j.n. (tj. strojů a zařízení, které mechanicky nebo tepelně působí na materiály nebo na materiálech provádějí výrobní procesy); motorových vozidel; přívěsů a návěsů a ostatních dopravních prostředků a zařízení);
• digitální služby (poskytovatelé online tržišť, internetových vyhledávačů a platforem služeb sociálních sítí).

Velikost subjektů

Směrnice NIS 2 přidává také kritérium velikosti subjektu. Z něho vyplývá, že do působnosti směrnice budou zahrnuty všechny střední a velké podniky ve vybraných odvětvích uvedených výše. Velikost podniku bude posuzována ve smyslu doporučení Komise 2003/361/ES, které stanovuje kritéria pro určení toho, zda je určitá společnost mikropodnik, malý nebo střední podnik, a to následovně:

• mikropodnik: má méně než 10 zaměstnanců a roční obrat nebo rozvahu do 2.000.000 eur;
• malý podnik: má méně než 50 zaměstnanců a roční obrat nebo rozvahu do 10.000.000 eur;
• střední podnik: má méně než 250 zaměstnanců a roční obrat do 50.000.000 eur nebo rozvahu do 43.000.000 eur;
• velký podnik: má nad 250 zaměstnanců nebo bilanční suma jeho roční rozvahy přesahuje 43.000.000 eur nebo roční obrat přesahuje 50.000.000 eur.

Návrh směrnice NIS 2 by se primárně neměl vztahovat na malé podniky a mikropodniky, nejde-li o subjekty výslovně uvedené v ust. čl. 2 odst. 2 návrhu směrnice NIS 2, na které se má úprava směrnice vztáhnout bez ohledu na jejich velikost.

Má jít zejména o subjekty, které plní klíčovou úlohu pro hospodářství či společnost, nebo pro konkrétní odvětví či druhy služeb.

Nová úprava tedy dopadne na rozsáhlý okruh subjektů, jimž přinese významnou finanční a administrativní zátěž. Povinné subjekty budou zejména muset přijmout technická a organizační opatření k řízení bezpečnostních rizik.

Technická opatření mohou spočívat například v používání vhodného softwaru (např. antivirus), sledování zranitelností a segmentace sítě. Organizační opatření znamenají vytvoření dokumentace – pravidel pro interní postupy (např. proces nástupu nového zaměstnance, nastavení účtů, aj.).

Nové povinnosti

Povinné subjekty se budou muset zaměřit zejména na:

• analýzu rizik a politiku bezpečnosti informačních systémů;
• řešení incidentů (prevence a odhalování incidentů a reakce na ně);
• řízení kontinuity provozu a krizové řízení;
• zabezpečení dodavatelského řetězce;
• zabezpečení pořizování, vývoje a údržby sítě a informačních systémů, včetně zveřejňování informací o zranitelnostech a jejich řešení;
• politiky a postupy (testování a audit) za účelem posouzení účelnosti opatření k řízení rizik v oblasti kybernetické bezpečnosti;
• kryptografie a šifrování.

Za nedodržení některých pravidel stanovených směrnicí (zejména přijetí opatření k řízení bezpečnostních rizik a plnění oznamovací povinnosti) má hrozit pokuta ve výši minimálně 10.000.000 eur (nebo 2 procenta z celkového celosvětového ročního obratu podniku, ke kterému patřil subjekt v předchozím rozpočtovém roce – podle toho, co je vyšší).

Přestože dosud nebylo schváleno finální znění směrnice NIS 2, doporučujeme přípravu nepodcenit. V ČR dlouhodobě chybí odborníci na kybernetickou bezpečnost a nelze tak spoléhat na to, že i “za pět dvanáct” bude snadné najít odbornou pomoc.

Autorka Lucie Linhartová působí ve společnosti SoftwareONE.