Směrnice NIS2 o kybernetické bezpečnosti

Tato do českého právní řádu transponuje směrnici NIS2. Nyní novelu projedná parlament, přičemž připravované změny regulace kybernetické bezpečnosti budou účinné nejdříve začátkem roku 2025.

Network and Information System Directive 2 (NIS2) je evropská směrnice, která stanovuje pravidla a požadavky pro oblast kybernetické bezpečnosti a ICT systémů a sítí (návaznost na směrnici NIS). V platnost vstoupila na začátku roku 2023.

Novela si klade za cíl zabezpečit všechny poskytovatele služeb důležitých pro fungování společnosti, a to jak veřejnoprávní organizace, tak soukromé firmy. Primárně se novela týká významnějších subjektů poskytujících regulované služby. Tyto dotčené služby zpřesní (příloha) vyhlášky Národního úřadu pro kybernetickou a informační bezpečnost v regulovaných službách.

Primárním způsobem stanovení, jestli soukromá nebo veřejná organizace spadá pod regulaci směrnice, je současné splnění následujících dvou pravidel:

• organizace poskytuje alespoň jednu službu uvedenou v přílohách vyhlášky a zároveň
• je středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu či bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK).

Výše uvedená kritéria bude dle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) splňovat cca 6 000 subjektů.

Hlavním cílem je dosáhnout toho, aby důležité organizace zaváděly preventivní kroky k posílení své kybernetické bezpečnosti a celkové zajištění lepší připravenosti na kybernetické hrozby, které se v souvislosti se situací ve světě stupňují. Motivovat je k tomu mají drastické sankce, které nejsou nepodobné výrazným sankcím za porušování ochrany osobních údajů zavedeným nařízením GDPR. Pokuta za porušení kybernetické bezpečnosti může dosáhnout až 10 milionů EUR nebo 2 % z čistého obratu.

Vedle zavádění bezpečnostních opatření je další významnou povinností poskytovatele hlášení a zvládání kybernetických bezpečnostních incidentů.

Návrh dále obsahuje mechanismus prověřování rizik spojených s dodavatelem. Smyslem zavedení mechanismu je přispět k zajištění dlouhodobě udržitelné bezpečnosti prostřednictvím zabezpečení a zvýšení odolnosti osob a institucí, jež jsou nezbytné pro naplňování základních funkcí státu.

Návrh zákona nyní míří do parlamentu. Implementační lhůta pro přijetí nové legislativy uplyne 18. října tohoto roku, NÚKIB se ale už nechal slyšet, že termín zřejmě dodržen nebude.

Primárně tak doporučujeme kontrolu, zda Váš podnik spadá do vymezené kategorie regulovaných subjektů. Pokud si nejste jisti, neváhejte se na nás kdykoliv obrátit.