Do roku 2024 by měla mít Česká republika ve svém právním řádu implementovány požadavky nové směrnice Evropského parlamentu a Rady Evropské unie o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, tzv. směrnice NIS2. Ta přináší mnoho změn v oblasti zajišťování kybernetické bezpečnosti a týká se nejen organizací, které jsou již dnes ze zákona o kybernetické bezpečnosti povinny své systémy zabezpečovat, ale i velkého množství organizací, které budou do regulace spadat nově a do dnešního dne žádné povinnosti plnit nemusely. Nově tak bude požadavkům a změnám specifikovaným ve směrnici NIS2 podléhat více než 6000 subjektů v ČR namísto nynějších přibližně čtyř set. Cílem směrnice je mimo jiné zajistit, aby organizace zaváděly preventivní kroky k posílení své kybernetické bezpečnosti. NIS2 nově také pracuje se dvěma režimy povinných osob – „important“ a „essential“. Přičemž povinnosti stanovené organizacím v režimu „important“ budou méně přísné než v případě režimu „essential“.
Nová směrnice prohloubí a rozšíří původní Směrnici Evropského parlamentu a Rady EU, o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii, tzv. směrnici NIS. Ačkoli již byla v rámci unijního legislativního procesu nalezena předběžná shoda ohledně budoucí podoby směrnice NIS2, její finální text dosud nebyl schválen a publikován v Úředním věstníku Evropské unie. Tento akt se předpokládá ve čtvrtém čtvrtletí roku 2022, přičemž ČR by měla mít nový rámec povinností zaveden v národní legislativě přibližně v polovině roku 2024. Další lhůta pak bude stanovena pro zahájení jejího plnění u těch organizací, které dosud regulaci v oblasti kybernetické bezpečnosti nepodléhaly.
Výše zmíněný nárůst povinných osob na nejméně 6000 bude způsoben rozšířením regulovaných odvětví (např. o odpadové hospodářství), rozšířením stávajících regulovaných odvětví o nové regulované služby (např. stávající odvětví Digitální infrastruktury o nové regulované služby cloud computingu nebo poskytovatele služeb a sítí elektronických komunikací) a také změnou způsobu identifikace povinných osob (kdy primárním kritériem pro zařazení do regulace bude velikost subjektu). Směrnicí tak bude nově regulováno přibližně 60 služeb v 18 odvětvích.
Regulované subjekty budou takové, které zaměstnávají nejméně 50 zaměstnanců, nebo dosahují ročního obratu či bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK). Členské státy EU mají také možnost k zařazení do regulace využít dodatečných kritérií bez ohledu na velikost a vztáhnout regulaci i na takové organizace, které jsou jedinými poskytovateli služby, jež je nezbytná v členském státě ze sociálního nebo ekonomického hlediska anebo by narušení jejich služby mohlo mít významný dopad na veřejnou bezpečnost, zdraví osob nebo by mohlo vyvolat významné riziko zejména s přeshraničním dopadem.
Česká republika nyní může těžit ze své výhody kvalitně zpracovaného zákona o kybernetické bezpečnosti, neboť velká část změn prezentovaných v NIS2 je v souladu s aktuálně platnou českou regulací. Pro současné povinné osoby se toho tedy v praxi příliš měnit nebude. NÚKIB se na přijetí směrnice a její realizaci připravuje průběžně a velmi intenzivně. V sedmi pracovních skupinách pracuje na čtyři desítky lidí. Jejich cílem je co nejhladší implementace směrnice do českého právního řádu. Současně se připravují i na to, aby byli schopni co možná nejlépe pomoci subjektům s plněním nových povinností. Záměrem NÚKIB je také do tvorby návrhu změny zákona zapojit odbornou veřejnost a podnikatelské svazy.
V kontextu řady změn a zájmu odborné veřejnosti o toto téma, spustil NÚKIB jako službu lidem webové stránky nis2.nukib.cz. Jejich cílem je podávat přehledné a ucelené základní informace o tom, co nová směrnice NIS2 přináší, popsat největší změny stávajících požadavků a způsob, jak budou evropské požadavky promítnuty do národní legislativy.
Na tomto webu tak lze dohledat obecné informace o směrnici NIS2, koho se nové povinnosti týkají, jakým způsobem budou organizace zabezpečovat své služby, jaké incidenty budou hlásit, jaké budou sankce za neplnění požadavků a další specifika. Všechna probíraná témata jsou shrnuta v deseti okruzích, které bude NÚKIB průběžně doplňovat. Postupem času dojde také k přidání informací o konkrétních navrhovaných změnách zákona o kybernetické bezpečnosti. V případě nejasností ohledně nové směrnice NIS2 má veřejnost možnost kontaktovat odborníky z NÚKIB na adrese: regulace@nukib.cz. Do předmětu mailu je potřeba uvést „web NIS2“.
Zdroj: NÚKIB
Zdroj: IT SECURITY NETWORK NEWS