10. 8. 2023
ID: 116739upozornění pro uživatele

Přichází směrnice NIS2 – Nová pravidla v oblasti kybernetické bezpečnosti

Směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii[1], mezi širší veřejností známá jako směrnice NIS2, představuje zásadní posun v rámci regulace kybernetické bezpečnosti na území Evropské unie. V současné digitální éře jsou technologie a s nimi spojené hrozby kybernetických útoků a zneužívání digitálních systémů součástí každodenního života, a proto byla potřeba přijetí pevnějšího a soudržnějšího rámce dlouhodobě anticipována.

Transpozice směrnice do právního řádu České republiky je v současné době v procesu a Národní úřad pro kybernetickou bezpečnost (NÚKIB) odhaduje, že platnost změn nastane v průběhu roku 2024, a to prostřednictvím nového zákona o kybernetické bezpečnosti. Nová pravidla se mohou týkat až 10 000 podniků napříč různými sektory. Ověřit si, zda mezi tyto subjekty spadá i Váš podnik, můžete v jednoduchém diagnostickém nástroji, který připravila naše kancelář.

Na koho se bude NIS2 vztahovat?

Lze obecně shrnout, že směrnice NIS2 zavádí dvě podmínky, které musí být kumulativně naplněny, aby se na daný podnik vztahovala:

  1. Velikost podniku

Směrnice v zásadě zahrnuje mezi relevantní subjekty střední a velké podniky, tedy ty, které:

  • zaměstnávají 50 a více zaměstnanců, a zároveň
  • dosahují ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů EUR.

K velikosti podniku je nutné přičíst i velikosti dalších organizací v rámci kategorií tzv. partnerských nebo propojených podniků, např. koncernů.

Nicméně je nezbytné vzít v potaz, že se některá nová pravidla v oblasti kybernetiky budou vztahovat i na malé podniky a mikropodniky, zejména pokud jsou součástí kritické infrastruktury nebo poskytují určité digitální služby, např. služby elektronických komunikací.

  1. Sektor podniku

Mezi jednotlivá odvětví, na která se směrnice vztahuje, mimo jiné patří:

  • Veřejná správa
  • Energetika (elektrická energie, ropný sektor a plynárenství)
  • Digitální infrastruktura (např. internetoví poskytovatelé služeb online tržiště, cloud computingu a služeb sociálních sítí)
  • Doprava (letecká, železniční, vodní a silniční)
  • Bankovnictví a infrastruktura finančních trhů
  • Zdravotnictví a výroba farmaceutických a zdravotnických prostředků
  • Výroba potravin

Jaká nová pravidla NIS2 zavádí?

Povinné subjekty budou dle příslušného odvětví a velikosti spadat pod režim vyšších či nižších povinností, v rámci kterých budou muset přijmout vhodná a přiměřená technickoorganizační opatření, a to například:

  • identifikace a vyhodnocování kybernetických rizik,
  • zajišťování stanovené míry úrovně kybernetické bezpečnosti,
  • poučení a školení HR pro rozvoj bezpečnostního povědomí,
  • zajišťování ochrany přístupových a autentizačních údajů,
  • zajišťování bezpečnosti využívané IT infrastruktury,
  • zvládání a hlášení bezpečnostních incidentů,
  • stanovování pravidel pro řízení a bezpečnost dodavatelů.

Jaké hrozí sankce při nesplnění pravidel?

V návaznosti na režim, pod který daný podnik spadá, může být za porušení povinností vyplývajících z NIS2 uložena danému podniku pokuta až 1,4 % z celosvětového obratu nebo 7 000 000 EUR, resp. pokuta až 2 % z celosvětového obratu nebo 10 000 000 EUR. Vedoucím pracovníkům podniku bude hrozit pozastavení výkonu řídící funkce.

Závěr

Na počátku tohoto roku proběhly veřejné konzultace k novému zákonu o kybernetické bezpečnosti, v rámci kterých měla široká veřejnost možnost podílet se na přípravě legislativy prostřednictvím podnětů podávaných na webových stránkách NÚKIB. V současné době probíhá mezirezortní připomínkové řízení k novému zákonu o kybernetické bezpečnosti. Aktuálně nahrané připomínky k návrhu jsou k dispoziciinformačním systému státní správy.

Přestože se účinnost nového zákona očekává až v říjnu 2024, již nyní je zřejmé, že podnikům může trvat měsíce, než své interní procesy zcela přizpůsobí novým pravidlům. Podnikům v relevantních odvětví proto doporučujeme průběžně sledovat webové stránky NÚKIB věnující se tématice NIS2, které pravidelně informují o legislativním postupu v přijetí zákona.

Vedle směrnice NIS2 bylo přijato také nařízení DORA[2], které vytváří harmonizovaný rámec pro zvýšení odolnosti vůči kybernetickým hrozbám ve finančním sektoru a vztahuje se mimo jiné na banky, platební instituce a crowdfundingové platformy. O nařízení DORA si můžete přečíst v našem předchozím článku.

Nikola Prachařová
Advokátní koncipient / Associate



Stuchlíkova & Partners, advokátní kancelář, s.r.o.

Spálená 97/29
110 00 Praha 1 – Nové Město

Tel.:    +420 222 767 393
e-mail:    info@stuchlikova.com

 

[1] Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148

[2] Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


Nikola Prachařová (Stuchlíkova & Partners)
10. 8. 2023
pošli emailem
vytiskni článek

Další články: