Směrnice NIS 1 představovala první a z dnešního pohledu neúplný pokus o regulaci kybernetické bezpečnosti v rámci Evropské unie. Zavazovala členské státy k vypracování strategie v oblasti kybernetické ochrany, zvýšila vzájemnou spolupráci mezi zeměmi snadnější výměnou strategických informací a zavedla povinnosti v oblasti kyberbezpečnosti pro některé subjekty.  

​Tato směrnice dostatečně nereflektovala nové trendy v oblasti kybernetické bezpečnosti, rostoucí počet kybernetických útoků a hrozby spojené s digitalizací kritických průmyslových odvětví. Evropská komise se z těchto důvodů rozhodla přinést modernizaci směrnice a dosáhnout tak lepší kybernetické odolnosti Evropské unie. 

Na koho se bude NIS 2 vztahovat?

​Dosavadní právní úprava ve směrnici NIS 1 dopadala na poměrně úzký okruh subjektů ze sedmi odvětví a tří oblastí digitálních služeb. Nově bude pod regulaci spadat každý subjekt, který splní dvě podmínky současně – musí poskytovat jednu z níže uvedených služeb a zároveň musí být kvalifikován jako tzv. střední nebo velký podnik ve smyslu doporučení Komise 2003/361/ES (tedy podnik, který zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu alespoň 10 milionů EUR nebo 250 milionů CZK).  

​Nově NIS 2 rozděluje subjekty na: ​

1. Základní subjekty, které poskytují služby v oblasti energetiky, dopravy, digitální infrastruktury, pitné a odpadní vody, zdravotnictví, některých prvků veřejné správy a rovněž vesmíru; a 
2. ​Důležité subjekty, jako jsou poštovní a kurýrní služby, nakládání s odpady, výroba, produkce a distribuce chemických látek, výroba, zpracování a distribuce potravin a poskytovatelé digitálních služeb. 

Reklama

Microsoft Copilot pro Office365 prakticky (online - živé vysílání) - 2.12.2024

2.12.2024 13:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

​​Některé z uvedených subjektů budou podléhat NIS 2 bez ohledu na výši obratu a počet zaměstnanců, zejména podniky uvedené v článku 2 odst. 2 NIS 2, které hrají zásadní roli ve fungování státu, hospodářství a kritické infrastruktury.  

Jaké nové povinnosti NIS 2 zavádí?

​Směrnice zavádí pro dotčené subjekty řadu povinnosti jako jsou například: 

1. ​Povinnost přijmout vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik (článek 18 NIS 2). 
2. ​Odpovědnost vedoucích orgánů za přijatá opatření v oblasti kybernetické bezpečnosti a povinnost dohledu. Za účelem získání dostatečných znalostí a dovedností mají členové vedoucích orgánů také povinnost absolvovat pravidelná školení v oblasti kybernetické bezpečnosti (článek 17 NIS 2). 
3. ​Oznamovací povinnost pro každý incident, který má závažný dopad na poskytování služeb (článek 20 NIS 2).

Sankce po vzoru ​GDPR

​Pro společnosti, které spadají do rámce nové regulace a nezavedou všechny technické a bezpečnostní požadavky, přináší směrnice NIS 2 motivaci ve formě značně revidovaných sankcí. V případě bezpečnostního incidentu a odmítnutí spolupráce s orgánem dozoru mohou být těmto společnostem uloženy pokuty, jejichž výše je stanovena na nejméně 10.000.000 EUR nebo 2 % celkového celosvětového ročního obratu. 

Kdy vstoupí NIS 2 v účinnost?

Konečné znění směrnice bylo zveřejněno v Úředním věstníku EU dne 27.prosince 2022 a vstupuje v platnost 20. den po jeho zveřejnění. Následně budou mít členské státy 21 měsíců na implementaci směrnice do svých vnitrostátních právních předpisů, tj. konkrétně k implementaci musí dojít do 17. 10. 2024.

Závěr

​Doporučujeme všem společnostem, na které by mohla dopadat nová právní úprava, aby zvážily všechna rizika spojená s kybernetickou bezpečností, co nejdříve si směrnici přečetly a sledovaly legislativní vývoj v České republice na poli kybernetické bezpečnosti. Mělo by stačit sledovat aktivity Národního úřadu pro kybernetickou a informační bezpečnost (nis2.nukib.cz), který je v informování veřejnosti relativně činorodý. 

JUDr. Dalibor Kovář,
vedoucí advokát

Mgr. Pavel Amler,
senior advokát

 

Florentinum, recepce A

Na Florenci 2116/15

110 00  Praha 1

 

Tel.:       +420 255 000 111

Fax:       +420 255 000 110

e-mail:    office@havelpartners.cz