Změna větší než GDPR. Koho se týká směrnice NIS2 a jaké hrozí sankce?

Co je to směrnice NIS2

Směrnice NIS2 je pokračováním a rozšířením už existující směrnice Evropské unie o kybernetické bezpečnosti z roku 2016 nazvané NIS (Network and Information Security). Ta ve zkratce definuje seznam opatření k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů zajišťujících důležité služby napříč členskými státy. Do českého právního rámce se propsala skrze novelizaci zákona 181/2014 Sb. o kybernetické bezpečnosti.

Nyní přichází Evropská unie s prohloubením a rozšířením tohoto rámce, který reprezentuje nová směrnice o kybernetické bezpečnosti – NIS2. Česká republika však může – stejně jako při přijímání původní směrnice NIS – těžit z výhody kvalitně zpracovaného zákona o kybernetické bezpečnosti, neboť velká část změn prezentovaných v NIS2 míří směrem k současné české regulaci.

Jenže. Dosavadní regulace kybernetické bezpečnosti byla v České republice koncipována pro poměrně úzkou skupinu několika stovek nejdůležitějších a nejvýznamnějších organizací s velkým dopadem na celou společnost. Směrnice NIS2 však přináší nový pohled a pro Českou republiku nutnost přizpůsobit se těmto změnám, které se nově dotknou tisíce firem.

„Dopady směrnice budou obří. Uvědomme si, že se bavíme o tisících subjektů. U těch největších se investiční náklady mohou vyšplhat i do stovek milionů korun a provozní náklady do desítek. V porovnání s NIS2 je, co do nákladů na implementaci, i GDPR malá,“ přesto varoval v jednom z předchozích textů na Finmag.cz partner poradenské společnosti Grant Thornton Jan Zajíček.

Co je cílem směrnice NIS2

Ve zkratce jde především o zvýšení kybernetické bezpečnosti ve všech členských zemích EU a posílení ochrany evropského společenství v kybernetickém prostoru jako celku. Tato potřeba se ukázala jako navýsost palčivá zejména se začátkem barbarského útoku Ruska na Ukrajinu, který byl spojen i s vyšší mírou kybernetické aktivity napříč Evropou právě ze strany Ruské federace. I proto se Evropa rozhodla už probíhající práce na novém regulatorním rámci urychlit.

Ty hlavní cíle jsou celkem tři. „Zaprvé jde o zmiňované zvýšení úrovně kybernetické bezpečnosti, kdy vyvstane povinnost pro určité subjekty přijmout odpovídající opatření s tím spojená. Zadruhé omezit nesrovnalosti v odolnosti různých subjektů. Cílem je také rozšíření regulace a jejích pravidel na další subjekty v režimu takzvaných nižších a vyšších povinností. Když to nějak lidsky shrnu, z mého pohledu stojí NIS2 primárně na řízení rizik, dodavatelských řetězcích a byznys kontinuitě,“ říká pro Finmag.cz spoluzakladatelka konzultantské společnosti Cybrela Kateřina Hůtová.

NIS2 tak přináší řadu podstatných změn stávající legislativy, které se dotýkají jak strategické úrovně (jde zejména o povinnosti dopadající na NÚKIB a Evropskou agenturu pro bezpečnost sítí a informací ENISA), tak regulace povinných osob (tedy práv a povinností konkrétních subjektů, společností a státních organizací v České republice). Cílem návrhu nového zákona je také zjednodušit některé instituty a udělat předpis návodnější pro jeho adresáty.

„Od NIS 2 očekávám především větší odolnost subjektů vůči kyberhrozbám, a tedy i menší zranitelnost. Přínosné bude i narovnaní kyberbezpečnostních podmínek a snížení rozdílů v úrovni vyspělosti kyberbezpečnosti napříč jednotlivými státy EU,“ říká k hlavním cílům směrnice NIS2 Tomáš Kudělka z české pobočky poradenské společnosti KPMG.

Jaké hlavní změny NIS2 přináší?

NIS2 přináší řadu natolik podstatných změn stávajícího regulatorního rámce, že se NÚKIB rozhodl přistoupit k návrhu zcela nové regulace kybernetické bezpečnosti. Základ této nové regulace tvoří nový zákon o kybernetické bezpečnosti, který vychází ze znění dosavadního zákona 181/2014 Sb. o kybernetické bezpečnosti a především splňuje minimální požadavky dané obsahem směrnice NIS2. Navíc pak reflektuje zkušenosti a poznatky, které NÚKIB za dobu své existence shromáždil.

Návrh zákona o kybernetické bezpečnosti sdružuje dosavadní roztříštěnou úpravu několika typů povinných osob do jedné – takzvaného poskytovatele regulované služby. Tento subjekt je pak povinen sám zjistit, pro jakou službu nebo služby je regulován, a následně se sám nahlásit (registrovat) u NÚKIB. Ve výjimečných případech je registrován přímo ze strany NÚKIB a zapsán do evidence automaticky, to se týká ale především státních institucí.

Poskytovateli regulované služby navrhovaný zákon následně na základě služeb přiděluje takzvaný režim povinností. Režimy jsou dva – režim vyšších povinností a režim nižších povinností. Každý poskytovatel regulované služby bude ve výsledku spadat jen pod jeden režim a ten stanoví, jak bude kterou z povinností plnit.

Druhým, velmi specifickým, typem povinné osoby je subjekt poskytující službu registrace doménových jmen – u něj se uplatní povinnosti týkající se registrace doménových jmen plynoucí ze směrnice NIS2. Zároveň platí, že pokud splní kritéria stanovená navrhovanou vyhláškou o regulovaných službách pro zařazení mezi poskytovatele regulovaných služeb, bude plnit i další povinnosti v závislosti na tom, do jakého režimu bude zařazen.

„Nová pravidla pomohou majitelům firem pochopit, že cílem útoku může být každý, že kybernetická bezpečnost není samozřejmost, že aktivní opatření jsou naprostá nutnost, že náklady s tím spojené nejsou vyhozené peníze, ale že se jim bohatě vrátí na zvládnutých incidentech a na ztrátách, které nenastanou,“ říká Michal Moroz, výkonný ředitel Asociace kritické infrastruktury ČR.

Koho se směrnice NIS2 týká

V tuto chvíli je těžké na tuto otázku přesně odpovědět. Směrnice NIS2 nepočítá s tím, že by ukládala povinnosti úplně každému, Provázanost fungování společnosti jako celku a organizací v ní je ale už tak velká, že prakticky neexistuje odvětví, kde by informační systémy nehrály významnou roli. Z tohoto důvodu ani směrnice NIS2 nehledá systémy důležité pro společnost, ale požaduje zabezpečit vše, co souvisí s poskytováním služeb potřebných pro její fungování.

Tyto služby uvádí směrnice NIS2 ve svých přílohách, kde vytváří základ pro pochopení toho, kdo pod regulaci směrnice spadá a kdo ne. Spadá sem například odvětví výroby elektřiny, poskytování zdravotní péče, poskytování služeb elektronických komunikací, ale také u dalších více než 60 služeb roztříděných do 18 odvětví. Lepší představu získáte v tomto grafickém znázornění.

Primárním způsobem stanovení, jestli soukromá nebo veřejná organizace spadá pod regulaci směrnice NIS2, je tedy současné naplnění následujících dvou pravidel:

• organizace poskytuje alespoň jednu službu uvedenou v přílohách směrnice
  
  a zároveň

• je středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů Kč).

První pravidlo tak odpovídá tomu, že se regulují odvětví a služby důležité pro společnost. Druhé pravidlo pak říká, že ne každý, kdo takovou službu poskytuje, je dostatečně velký a významný, aby byla regulace přiměřená i v jeho případě. Pokud je však někdo středním nebo velkým podnikem (směrnice zde odkazuje na Doporučení Komise 2003/361/ES z 6. května 2003, oficiální český překlad doporučení je k dispozici ve Sbírce zákonů a Sbírce mezinárodních smluv), je již podle tvůrců směrnice dostatečně důležitým pro to, aby regulace byla v jeho případě opodstatněná.

„NÚKIB uvádí přibližně šest tisíc subjektů. S kolegy se ale domníváme, že jich bude daleko víc. Šest tisíc beru jako minimum, a i kdyby to tak bylo, tak půjde o velkou změnu. Pod zákon a vyhlášku o kybernetické bezpečnosti teď spadá zhruba 360 subjektů. Takže jejich počet se zvýší minimálně na dvacetinásobek,“ říká expertka na kybernetickou bezpečnost Kateřina Hůtová.

Konkrétně by se směrnice NIS2 mohla dotknout i více než deseti tisíc českých firem.

Jaké povinnosti NIS2 ukládá?

Detailní požadavky budou stanoveny až v rámci novelizovaného českého zákona o kybernetické bezpečnosti. Pokud se vás ale podle definic uvedených výše nová regulace dotkne a splníte tak svou povinnost registrace u NÚKIB, ty hlavní povinnosti poskytovatele regulované služby jsou:

• hlásit kontaktní a další údaje,
• stanovit rozsah řízení kybernetické bezpečnosti (má přímý vliv na následující povinnosti),
• zavádět bezpečnostní opatření – souvisí s navrhovanou vyhláškou o bezpečnostních opatřeních pro poskytovatele regulované služby v režimu vyšších povinností nebo navrhovanou vyhláškou o bezpečnostních opatřeních pro poskytovatele regulované služby v režimu nižších povinností,
• hlásit kybernetické bezpečnostní incidenty,
• informovat zákazníky o incidentech a hrozbách,
• provádět protiopatření,
• zajišťovat dostupnost strategicky významných služeb z území České republiky a testovat schopnost zajištění této dostupnosti – souvisí s vyhláškou o regulovaných službách, která stanovuje kritéria pro identifikaci strategicky významných služeb,
• plnit povinnosti mechanismu řízení bezpečnosti dodavatelského řetězce v případě vybraných poskytovatelů regulované služby v režimu vyšších povinností – souvisí s vyhláškou o regulovaných službách, vyhláškou o nepominutelných funkcích a vyhláškou o kritériích rizikovosti dodavatelů,
• podřídit se výkonu kontroly.

Povinnosti směrnice NIS2 ovšem ukládá i na straně státu a regulačních orgánů. Mezi nejvýznamnější povinnosti z hlediska fungování NÚKIB a České republiky v oblasti zajišťování kybernetické bezpečnosti v Evropské unii patří vedle samotného povinného přijetí národní strategie kybernetické bezpečnosti například i hlubší spolupráce s dozorovými orgány ostatních členských států na provádění kontrol a vymáhání dodržování uložených povinností.

Výhodou České republiky je, že celou řadu těchto činností již NÚKIB vykonává alespoň na základní úrovni. Novým zákonem však dojde ke zrušení celé dosavadní soustavy stávajících právních předpisů upravujících kybernetickou bezpečnost a vše bude potřeba nastavit nově.

Od kdy platí směrnice NIS2?

K publikaci oficiálního znění směrnice došlo dne 27. prosince 2022 v Úředním věstníku Evropské unie. Jak je ve směrnici uvedeno, dvacátým dnem od vyvěšení se stává směrnice platnou – toto datum tedy připadá na 16. ledna 2023. Platnost směrnice však neznamená, že subjekty spadající do její působnosti musí ihned začít plnit všechny povinnosti, které přináší. Znamená především povinnost členského státu transponovat (převést) text směrnice do národního práva.

Transpoziční lhůta (tedy lhůta, ve které musí členské státy platnou směrnici promítnout do národního práva) je stanovena na 21 měsíců a počítá se právě od data jejího vstupu v platnost. Z toho plyne, že by Česká republika měla mít zaveden nový rámec povinností v národní legislativě (formou novelizace zákona o kybernetické bezpečnosti a některých dalších relevantních předpisů) do 16. října 2024. Další lhůta pak bude stanovena pro zahájení plnění nových povinností u těch organizací, které dosud regulaci kybernetické bezpečnosti nepodléhaly.

„Společnosti mají určitý čas k tomu, aby implementovaly technická a organizační opatření. Je ale důležité si hlídat, do kdy se musí samoidentifikovat přes portál NÚKIB, že na ně tato legislativa dopadá. Za nenahlášení se do portálů hrozí nejvyšší pokuty,“ uvedla už dříve v rozhovoru pro Finmag.cz spoluzakladatelka konzultantské společnosti Cybrela Kateřina Hůtová.

Jaké sankce hrozí za nesplnění směrnice NIS2?

Zákon o kybernetické bezpečnosti obsahuje ve svém znění sankce a donucovací prostředky od samého počátku své platnosti. S nástupem nové směrnice však dojde k jejich zpřísnění.

NÚKIB avizuje, že všechny donucovací prostředky a sankce musí být proporcionální a při jejich ukládání musí být vzata v potaz například povaha porušení, jeho závažnost, vzniklé či hrozící škody, jestli porušení vzniklo úmyslně či nedbalostně nebo míra spolupráce regulované organizace odpovědné za porušení.

Mezi kontrolní prostředky u subjektů v kategorii „základní subjekt“ mají patřit například kontroly na místě, bezpečnostní audity, žádosti o zpřístupnění dat a informací nebo doložení zavedení bezpečnostních politik. NÚKIB může regulovaným subjektům závazně uložit například provedení opatření, které povede k nápravě či předcházení bezpečnostního incidentu.

„NÚKIB má provádět kontroly pouze pro poskytovatele regulované služby ve vyšším režimu. V nižším režimu se zavádí kontrola inspektorem. Tedy osobou, která splní zákonné požadavky a mimo jiné úspěšně složí test od NÚKIB,“ řekla v rozhovoru pro Finmag.cz expertka na kybernetickou bezpečnost Kateřina Hůtová.

Pokud ani výše zmíněné donucovací prostředky nepovedou k nápravě, může dojít k dočasnému pozastavení certifikací nebo licencí u regulovaných subjektů. Směrnice NIS 2 zároveň na evropské úrovni stanovuje nejnižší možnou úroveň horní hranice sazby pokut. Pro regulované organizace v kategorii „důležitý subjekt“ platí horní hranice sedm miliónů eur (170 milionů korun) nebo 1,4 % ze světového obratu (podle toho, co je vyšší). V kategorii „základní subjekt“ je horní hranice deset miliónů eur (240 milionů korun) nebo dvě procenta ze světového obratu (podle toho, co je vyšší).

Kam pro pomoc a další informace o směrnici NIS2?

Základní informace o směrnici NIS 2, včetně jejího plného znění, najdete na portálu NÚKIB. S případnými dotazy se můžete obracet na e-mailovou adresu úřadu regulace@nukib.cz, do předmětu v takovém případě uveďte „web NIS2“ (udělali jsme za vás; po kliknutí na mailovou adresu se předmět vyplní automaticky).

Pro legislativní nadšence nabízíme i možnost prostudovat celé návrhy zákonů ve veřejném věstníku VeKLEP (pro účely mezirezortního připomínkového řízení). Návrh nového zákona o kybernetické bezpečnosti najdete zde, návrh doprovodného zákona k novému zákonu o kybernetické bezpečnosti naopak zde. K dispozici je i seznam vypořádaných připomínek.

Pokud si nevíte rady se samotnou implementací technických a organizačních opatření, můžete se obrátit na některou z poradenských společností. Kateřina Hůtová ale v rozhovoru pro Finmag.cz radí, že společnosti by měly investovat především do vlastních zdrojů.

„Nejlepší je začít už nyní investovat do vlastních zaměstnanců a vychovat si vlastní odborníky. Protože i když vám s tím výrazně můžeme pomoci my jako externisté, tak to není jednorázová záležitost,“ říká expertka. „Externisté jsou skvělí například tím, že vás mohou nasměrovat, napsat za vás dokumentaci na základě rozhovorů s vámi, nastavit technické opatření – zkrátka udělat to nejtěžší. Ale vždy jsou důležití především vlastní zaměstnanci,“ upozorňuje.

Finmag.cz

Kam dál? Podnikatelský servis na Finmagu:

• Pozor, konec mimořádných odpisů se blíží. Autosalony se chystají na nápor
• Hledáte „práci snů“? Tady máte návod, jak jí docílit
• Jednoduše a bez poplatků. Jak (a proč) v obchodě přijímat platby bitcoinem?
• Chcete rozjet podnikání? Výhody a nevýhody jednotlivých cest k byznysu
• Z nezaměstnaných podnikateli. Recept, který funguje, ukazují studie

Jak jde dohromady byznys a medicína? Dočtete se v novém Finmagu

Je medicína byznys? Jak pro koho. „Frustraci mladých lékařů chápu. Nemají ani na chůvu, aby jim pohlídala děti, když pracují,“ říká přednosta chirurgické kliniky Robert Lischke.

Zdroj: Finmag

MEDICÍNA A BYZNYS

Jak venkovští praktici nepřicházejí o iluze • Ženy mění medicínu • Nejstarší pražská nemocnice objektivem Alžběty Jungrové • Nejdražší léky na světě • Obézních přibývá, Česko dohání USA.

BYZNYS JE HRA

„Investice do umění se do tabulek nevtěsná,“ říká Pavlína Pudil z Kunsthalle • Nejdražší materiál roku 2023? Hrst štěrku z vesmíru za miliardu dolarů • Ekologie musí být podle Tomáš Nemravy, výrobce dřevěných domů, ekonomická.

Koupit Finmag