30. 1. 2023
ID: 115821upozornění pro uživatele

Přichází směrnice NIS 2 a s ní revoluce v oblasti kybernetické bezpečnosti

Rada Evropské unie za českého předsednictví v listopadu 2022 schválila konečné znění směrnice o opatřeních pro vysokou společnou úroveň bezpečnosti sítí a informačních systémů celé EU, známé jako směrnice NIS 2. Navazuje na stávající směrnici NIS 1, ale značně rozšiřuje okruh povinných subjektů a odstraňuje často vytýkané nedostatky. Na jaké konkrétní subjekty se bude vztahovat? Jaké povinnosti zavádí? A kdy můžeme očekávat její start v praxi?​ 

 

Směrnice NIS 1 představovala první a z dnešního pohledu neúplný pokus o regulaci kybernetické bezpečnosti v rámci Evropské unie. Zavazovala členské státy k vypracování strategie v oblasti kybernetické ochrany, zvýšila vzájemnou spolupráci mezi zeměmi snadnější výměnou strategických informací a zavedla povinnosti v oblasti kyberbezpečnosti pro některé subjekty.  

​Tato směrnice dostatečně nereflektovala nové trendy v oblasti kybernetické bezpečnosti, rostoucí počet kybernetických útoků a hrozby spojené s digitalizací kritických průmyslových odvětví. Evropská komise se z těchto důvodů rozhodla přinést modernizaci směrnice a dosáhnout tak lepší kybernetické odolnosti Evropské unie. 

Na koho se bude NIS 2 vztahovat?

​Dosavadní právní úprava ve směrnici NIS 1 dopadala na poměrně úzký okruh subjektů ze sedmi odvětví a tří oblastí digitálních služeb. Nově bude pod regulaci spadat každý subjekt, který splní dvě podmínky současně – musí poskytovat jednu z níže uvedených služeb a zároveň musí být kvalifikován jako tzv. střední nebo velký podnik ve smyslu doporučení Komise 2003/361/ES (tedy podnik, který zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu alespoň 10 milionů EUR nebo 250 milionů CZK).  

​Nově NIS 2 rozděluje subjekty na: 

  1. Základní subjekty, které poskytují služby v oblasti energetiky, dopravy, digitální infrastruktury, pitné a odpadní vody, zdravotnictví, některých prvků veřejné správy a rovněž vesmíru; a 
  2. Důležité subjekty, jako jsou poštovní a kurýrní služby, nakládání s odpady, výroba, produkce a distribuce chemických látek, výroba, zpracování a distribuce potravin a poskytovatelé digitálních služeb. 

​​Některé z uvedených subjektů budou podléhat NIS 2 bez ohledu na výši obratu a počet zaměstnanců, zejména podniky uvedené v článku 2 odst. 2 NIS 2, které hrají zásadní roli ve fungování státu, hospodářství a kritické infrastruktury.  

 

Jaké nové povinnosti NIS 2 zavádí?

​Směrnice zavádí pro dotčené subjekty řadu povinnosti jako jsou například: 

  1. ​Povinnost přijmout vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik (článek 18 NIS 2). 
  2. ​Odpovědnost vedoucích orgánů za přijatá opatření v oblasti kybernetické bezpečnosti a povinnost dohledu. Za účelem získání dostatečných znalostí a dovedností mají členové vedoucích orgánů také povinnost absolvovat pravidelná školení v oblasti kybernetické bezpečnosti (článek 17 NIS 2). 
  3. ​Oznamovací povinnost pro každý incident, který má závažný dopad na poskytování služeb (článek 20 NIS 2).
Sankce po vzoru ​GDPR

​Pro společnosti, které spadají do rámce nové regulace a nezavedou všechny technické a bezpečnostní požadavky, přináší směrnice NIS 2 motivaci ve formě značně revidovaných sankcí. V případě bezpečnostního incidentu a odmítnutí spolupráce s orgánem dozoru mohou být těmto společnostem uloženy pokuty, jejichž výše je stanovena na nejméně 10.000.000 EUR nebo 2 % celkového celosvětového ročního obratu

Kdy vstoupí NIS 2 v účinnost?

Konečné znění směrnice bylo zveřejněno v Úředním věstníku EU dne 27.prosince 2022 a vstupuje v platnost 20. den po jeho zveřejnění. Následně budou mít členské státy 21 měsíců na implementaci směrnice do svých vnitrostátních právních předpisů, tj. konkrétně k implementaci musí dojít do 17. 10. 2024.

Závěr

​Doporučujeme všem společnostem, na které by mohla dopadat nová právní úprava, aby zvážily všechna rizika spojená s kybernetickou bezpečností, co nejdříve si směrnici přečetly a sledovaly legislativní vývoj v České republice na poli kybernetické bezpečnosti. Mělo by stačit sledovat aktivity Národního úřadu pro kybernetickou a informační bezpečnost (nis2.nukib.cz), který je v informování veřejnosti relativně činorodý. 


JUDr. Dalibor Kovář,
vedoucí advokát


Mgr. Pavel Amler,
senior advokát

HAVEL & PARTNERS s.r.o., advokátní kancelář

 

 

 
 
Florentinum, recepce A
Na Florenci 2116/15
110 00  Praha 1
 
Tel.:       +420 255 000 111
Fax:       +420 255 000 110
 
 


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


JUDr. Dalibor Kovář, Mgr. Pavel Amler (HAVEL & PARTNERS)
30. 1. 2023

Poslat článek emailem

*) povinné položky

Další články: