NIS2 a novela zákona o kyberbezpečnosti - souhrnný manuál (k dubnu 2024)
UPDATE: 17. června byl návrh zákona přijat vládou. Posunul se tedy ve schvalovacím procesu do dalšího kroku. Další informace a aktuality naleznete na stránkách NÚKIB, které jsou věnované novele zákona.
Naštěstí se stále musí držet směrnice NIS2, která sice není přesným zněním nového zákona, ale dává jasné instrukce, co se v novém zákoně objevit musí.
Prvním krokem ale je, jestli se na vás vůbec NIS2 a jeho česká adaptace budou vztahovat. Udělali jsme tu práce částečně za vás. Prošli jsme všechny zákoutí, které se na toto téma vztahují, a připravili jsme je pro vás v tomto článku.
Krátce se pověnujeme obecným informacím ohledně nových zásad a následně se přesuneme k podmínkám, na koho se budou vztahovat.
NIS2
Důvody pro obměnu směrnice
Původní směrnice dávala příliš mnoho prostoru pro výklad jednotlivými státy, takže zásady kybernetické bezpečnosti byly příliš odlišné, včetně přístupu k nahlašování incidentů.
Vzhledem k tomu, jak je EU postavená – tedy na propojenosti vnitřních trhů v jeden velký mezistátní prostor – vznikaly vzhledem k těmto rozdílům až příliš velké možnosti pro útok. Kyberútok v jednom státě se může rozšířit propojeností do jiných zemí a EU nebyla připravena čelit této hrozbě správně.
Cíle NIS2
Základní informací ohledně NIS2 je, že to není nařízení ani zákon. Je to směrnice, tedy doporučení, které si každý stát musí zpracovat sám. Dává ale konkrétní vodítka, jak zabezpečit, že kyberbezpečnost EU bude jednotnější a účinnější.
K tomu patří například koordinace regulací, spolupráce a řešení incidentů.
Koho se NIS2 týká
NIS2 rozlišuje dva typy subjektů, které se budou muset místním zákonům podřídit – základní a důležitý.
Základní subjekt
- Překračuje stropy pro střední podnik
- Kvalifikovaní poskytovatelé služeb vytvářejících důvěru bez ohledu na velikost
- Registry domén nejvyšší úrovně bez ohledu na velikost
- Provozovatelé DNS bez ohledu na velikost
- Poskytovatelé veřejných sítí elektronických komunikací
- Poskytovatelé veřejně dostupných služeb elektronických komunikací
- Kritické subjekty
- Provozovatelé základních služeb
Důležitý subjekt
Základem je článek 2 přílohy doporučení Komise 2003/361/ES. NIS2 se bude vztahovat na střední podniky a ty, které jejich limity překračují, a také malé a mikro podniky, pokud ty budou splňovat konkrétní výjimky. Tam se díváme na odvětví či druhy služeb.
Velikost podniků
| Typ | Počet zaměstnanců | Roční obrat (bez DPH) / výsledek hospodaření |
| Mikropodnik | > 250 | > 50 mil. EUR |
| Malý podnik | > 50 | >10 mil. EUR |
| Střední podnik | > 10 | > 2 mil. EUR |
Propojenost podniků
| Autonomní podnik | Ani partnerský, ani propojený podnik | Hodnoty se počítají čistě ze stavu a výsledků dané společnosti |
| Partnerský podnik | 25 % a více kapitálu nebo volebních práv je drženo mateřskou společností | Připočítání výsledků partnerského podniku, který je mateřským nebo dceřinným podnikem, v poměru k poměru držených práv. |
| Propojený podnik |
| Připočtení 100 % výsledků propojených podniků, které jsou propojené přímo i nepřímo |
Tyto definice jsou ale velmi stručné a existují z nich výjimky. Například některé subjekty ve finančním sektoru jsou vyňaty z této směrnice, protože už se na ně vztahuje individuální nařízení (EU 2022/2554).
EU také dává možnost národním úřadům pro zhodnocení míry partnerských a propojených podniků. Například doporučuje, že je možné zohlednit oddělenost IT infrastruktury a architektury. Pokud tedy podnik sám o sobě splňuje podmínky středních a menších podniků a má oddělené IT, může se vláda rozhodnout vzít tento rozdíl v potaz a umožnit podniku nebýt v kategorii základních nebo důležitých subjektů, pokud to není přiměřené. Tento seznam, ale i samotné rozhodnutí, však spadají do kompetence jednotlivých vlád. Budeme si tedy ještě muset počkat, zda česká vláda tuto výjimku umožní.
Důležité je také vědět, že ačkoli jsou některá odvětví ze směrnice vyjmuta, to neznamená, že si jdou v oblasti kybernetické bezpečnosti po své ose. Směrnice jasně vyjadřuje postoj, který tyto organizace mají mít – nespadají sice do směrnice, ale měly by se co nejvíce přiblížit jejich cílům.
Odvětví digitální infrastruktury musí v rámci kyberbezpečnosti zajišťovat také fyzickou bezpečnost, která je s tím úzce spojena.
Subjekt spadá pod kontrolu členského státu, kde má hlavní provozovnu. Pokud je subjekt usazen ve více členských státech, spadá paralelně pod správu každého z nich.
Zahrnutá odvětví bez ohledu na velikost
- Poskytovatele veřejné sítě elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací
- Poskytovatel služeb vytvářejících důvěru
- Registry domén nejvyšší úrovně a provozovatele DNS
- Subjekty, které jsou výhradním poskytovatelem dané služby, takže hrají zásadní roli při zachování kritických činností
- Subjekty, u kterých by narušení služeb významně dopadlo na veřejný pořádek, bezpečnost nebo ochranu zdraví
- Subjekty, u nichž by narušení poskytování služeb vedlo k systémovým rizikům zejména pro odvětví, ve kterých by dopad mohl být přeshraniční
- Vysoce kritické subjekty
| 1. Energetika | a) elektřina | — elektroenergetické podniky ve smyslu čl. 2 bodu 57 směrnice Evropského parlamentu a Rady (EU) 2019/944 (1), které zastávají funkci „dodávky“ ve smyslu čl. 2 bodu 12 uvedené směrnice |
| — provozovatelé distribuční soustavy ve smyslu čl. 2 bodu 29 směrnice (EU) 2019/944 | ||
| — provozovatelé přenosové soustavy ve smyslu čl. 2 bodu 35 směrnice (EU) 2019/944 | ||
| — výrobci ve smyslu čl. 2 bodu 38 směrnice (EU) 2019/944 | ||
— nominovaní organizátoři trhu s elektřinou ve smyslu čl. 2 bodu 8 nařízení Evropského parlamentu a Rady (EU) 2019/943 (2) — účastníci trhu ve smyslu čl. 2 bodu 25 nařízení (EU) 2019/943, kteří poskytují služby agregace, odezvy strany poptávky nebo ukládání energie ve smyslu čl. 2 bodů 18, 20 a 59 směrnice (EU) 2019/944 — provozovatelé dobíjecích bodů, kteří jsou odpovědní za řízení a provoz dobíjecích bodů, které koncovým uživatelům poskytují službu dobíjení, a to i jménem a na účet poskytovatele služeb mobility | ||
| b) dálkové vytápění a chlazení | — provozovatelé dálkového vytápění nebo dálkového chlazení ve smyslu čl. 2 bodu 19 směrnice Evropského parlamentu a Rady (EU) 2018/2001 (3) | |
| c) ropa | — provozovatelé ropovodů | |
| — provozovatelé zařízení na těžbu, rafinaci a zpracování ropy a skladovacích a přenosových zařízení | ||
| — ústřední správci zásob ve smyslu čl. 2 písm. f) směrnice Rady 2009/119/ES (4) | ||
| d) zemní plyn | — dodavatelské podniky ve smyslu čl. 2 bodu 8 směrnice Evropského parlamentu a Rady 2009/73/ES (5) | |
| — provozovatelé distribuční soustavy ve smyslu čl. 2 bodu 6 směrnice 2009/73/ES | ||
| — provozovatelé přepravní soustavy ve smyslu čl. 2 bodu 4 směrnice 2009/73/ES | ||
| — provozovatelé skladovacího zařízení ve smyslu čl. 2 bodu 10 směrnice 2009/73/ES | ||
| — provozovatelé zařízení LNG ve smyslu čl. 2 bodu 12 směrnice 2009/73/ES | ||
| — plynárenské podniky ve smyslu čl. 2 bodu 1 směrnice 2009/73/ES | ||
| — provozovatelé zařízení na rafinaci a zpracování zemního plynu | ||
| e) vodík | — provozovatelé výroby, skladování a přepravy vodíku | |
| 2. Doprava | a) letecká | — letečtí dopravci ve smyslu čl. 3 bodu 4 nařízení (ES) č. 300/2008 využívaní ke komerčním účelům |
| — řídící orgány letiště ve smyslu čl. 2 bodu 2 směrnice Evropského parlamentu a Rady 2009/12/ES (6), letiště ve smyslu čl. 2 bodu 1 uve dené směrnice, včetně hlavních letišť uvedených v příloze II, části 2 nařízení Evropského parlamentu a Rady (EU) č. 1315/2013 (7), a subjekty provozující pomocná zařízení v rámci letišť | ||
| — provozovatelé kontroly řízení provozu poskytující služby řízení letového provozu ve smyslu čl. 2 bodu 1 nařízení Evropského parla mentu a Rady (ES) č. 549/2004 (8) | ||
| b) železniční | — provozovatelé infrastruktury ve smyslu čl. 3 bodu 2 směrnice Evropského parlamentu a Rady 2012/34/EU (9) | |
| — železniční podniky ve smyslu čl. 3 bodu 1 směrnice 2012/34/EU, včetně provozovatelů zařízení služeb ve smyslu čl. 3 bodu 12 uve dené směrnice | ||
| c) vodní | — společnosti vnitrozemské, námořní a pobřežní osobní a nákladní vodní dopravy, jak jsou vymezeny pro námořní dopravu v příloze I nařízení Evropského parlamentu a Rady (ES) č. 725/2004 (10), kromě jednotlivých plavidel provozovaných těmito podniky | |
| — řídící orgány přístavů ve smyslu čl. 3 bodu 1 směrnice Evropského parlamentu a Rady 2005/65/ES (11), včetně jejich přístavních zaří zení ve smyslu čl. 2 bodu 11 nařízení (ES) č. 725/2004; a subjekty provozující díla a zařízení v rámci přístavů | ||
| — provozovatelé služeb lodní dopravy (VTS) ve smyslu čl. 3 písm. o) směrnice Evropského parlamentu a Rady 2002/59/ES (12) | ||
| d) silniční | — silniční orgány ve smyslu čl. 2 bodu 12 nařízení Komise v přenesené pravomoci (EU) 2015/962 (13) odpovědné za kontrolu řízení pro vozu, s výjimkou veřejných subjektů, pro něž je řízení provozu nebo provoz inteligentních dopravních systémů nepodstatnou částí jejich obecné činnosti | |
| — provozovatelé inteligentních dopravních systémů ve smyslu čl. 4 bodu 1 směrnice Evropského parlamentu a Rady 2010/40/EU (14) | ||
| 3. Bankovnictví | úvěrové instituce ve smyslu čl. 4 bodu 1 nařízení Evropského parlamentu a Rady (EU) č. 575/2013 (15) | |
| 4. Infrastruktura fi nančních trhů | — provozovatelé obchodních systémů ve smyslu čl. 4 bodu 24 směrnice Evropského parlamentu a Rady 2014/65/EU (16) | |
| — ústřední protistrany ve smyslu čl. 2 bodu 1 nařízení Evropského parlamentu a Rady (EU) č. 648/2012 (17) | ||
| 5. Zdravotnictví | — poskytovatelé zdravotní péče ve smyslu čl. 3 písm. g) směrnice Evropského parlamentu a Rady 2011/24/EU (18) | |
| — referenční laboratoře EU ve smyslu článku 15 nařízení Evropského parlamentu a Rady (EU) 2022/… (19) | ||
— subjekty provádějící výzkum a vývoj týkající se léčivých přípravků ve smyslu čl. 1 bodu 2 směrnice Evropského parlamentu a Rady 2001/83/ES (20) — subjekty vyrábějící základní farmaceutické výrobky a farmaceutické přípravky ve smyslu sekce C oddílu 21 klasifikace NACE Rev. 2 — subjekty vyrábějící zdravotnické prostředky považované za kriticky důležité v případě mimořádné situace v oblasti veřejného zdraví (uvedené na „seznamu kriticky důležitých zdravotnických prostředků při mimořádné situaci v oblasti veřejného zdraví“) ve smyslu článku 22 nařízení Evropského parlamentu a Rady (EU) 2022/123 (21) | ||
| 6. Pitná voda | dodavatelé a distributoři vody určené k lidské spotřebě ve smyslu čl. 2 bodu 1 písm. a) směrnice Evropského parlamentu a Rady (EU) 2020/2184 (22), s výjimkou distributorů, pro něž je distribuce vody určené k lidské spotřebě nepodstatnou částí jejich obecné činnosti spočívající v distribuci komodit a zboží | |
| 7. Odpadní voda | podniky zajišťující odvádění, vypouštění nebo čištění městských odpadních vod, splašek nebo průmyslových odpadních vod ve smyslu čl. 2 bodů 1, 2 a 3 směrnice Rady 91/271/EHS (23), s výjimkou podniků, pro něž je odvádění, vypouštění nebo čištění městských odpadních vod, splašek nebo průmyslových odpadních vod nepodstatnou částí jejich obecné činnosti | |
| 8. Digitální infra struktura | — provozovatelé výměnných uzlů internetu | |
| — provozovatelé DNS, s výjimkou operátorů kořenových jmenných serverů | ||
| — registry domén nejvyšší úrovně (TLD) | ||
| — poskytovatelé služeb cloud computingu | ||
| — poskytovatelé služeb datových center | ||
| — poskytovatelé sítí pro doručování obsahu | ||
| — poskytovatelé služeb vytvářejících důvěru | ||
| — poskytovatelé veřejných sítí elektronických komunikací | ||
| — poskytovatelé veřejně dostupných služeb elektronických komunikací | ||
| 9. Řízení služeb IKT (mezi pod niky) | — poskytovatelé řízených služeb — poskytovatelé řízených bezpečnostních služeb | |
| 10. Veřejná správa | — ústřední subjekty veřejné správy vymezené členským státem v souladu s vnitrostátním právem — subjekty regionální veřejné správy vymezené členským státem v souladu s vnitrostátním právem | |
| 11. Vesmír | provozovatelé pozemních infrastruktur vlastněných, spravovaných a provozovaných členskými státy nebo soukromými subjekty a podporujících poskytování služeb využívajících kosmického prostoru, s výjimkou poskytovatelů veřejných sítí elektronických komunikací |
Další kritická odvětví
| 1. Poštovní a kurýrní služby | poskytovatelé poštovních služeb ve smyslu čl. 2 bodu 1a směrnice 97/67/ES, včetně poskytovatelů kurýrních služeb | |
| 2. Nakládání s odpady | podniky provádějící nakládání s odpady ve smyslu čl. 3 bodu 9 směrnice Evropského parlamentu a Rady 2008/98/ES (1), avšak s výjimkou podniků, pro které nakládání s odpady nepředstavuje hlavní hospodářskou činnost | |
| 3. Výroba, produkce a distribuce chemických látek | podniky provádějící výrobu látek a distribuci látek nebo směsí ve smyslu čl. 3 bodů 9 a 14 nařízení Evropského parlamentu a Rady (ES) č. 1907/2006 (2) a podniky provádějící výrobu předmětů ve smyslu čl. 3 bodu 3 uvedeného nařízení z látek či směsí | |
| 4. Výroba, zpracování a distribuce potravin | potravinářské podniky ve smyslu čl. 3 bodu 2 nařízení Evropského parlamentu a Rady (ES) č. 178/2002 (3), které se zabývají velkoobchodní distribucí a průmyslovou výrobou a zpracováním | |
| 5. Výroba | a) výroba zdravotnických prostředků a diagnostických zdravotnických pro středků in vitro | subjekty vyrábějící zdravotnické prostředky ve smyslu čl. 2 bodu 1 nařízení Evropského parlamentu a Rady (EU) 2017/745 (4) a subjekty vyrábějící diagnostické zdravotnické prostředky in vitro ve smyslu čl. 2 bodu 2 nařízení Evropského parlamentu a Rady (EU) 2017/746 (5), s výjimkou subjektů vyrábějících zdravotnické prostředky uvedených v příloze I bodu 5 páté odrážce této směrnice |
| b) výroba počítačů, elektronických a optic kých přístrojů a zařízení | podniky vykonávající kteroukoliv z hospodářských činností ve smyslu sekce C oddílu 26 klasifikace NACE Rev. 2 | |
| c) výroba elektrických zařízení | podniky vykonávající kteroukoliv z hospodářských činností ve smyslu sekce C oddílu 27 klasifikace NACE Rev. 2 | |
| d) výroba strojů a zařízení j. n. | podniky vykonávající kteroukoliv z hospodářských činností ve smyslu sekce C oddílu 28 klasifikace NACE Rev. 2 | |
| e) výroba motorových vozidel, přívěsů a návěsů | podniky vykonávající kteroukoliv z hospodářských činností ve smyslu sekce C oddílu 29 klasifikace NACE Rev. 2 | |
| f) výroba ostatních dopravních prostředků a zařízení | podniky vykonávající kteroukoliv z hospodářských činností ve smyslu sekce C oddílu 30 klasifikace NACE Rev. 2 | |
| 6. Digitální poskytovatelé | — poskytovatelé on-line tržišť | |
| — poskytovatelé internetových vyhledávačů | ||
| — poskytovatelé služeb platforem sociálních sítí | ||
| 7. Výzkum | výzkumné organizace |
Termíny
Do 17. 4 . 2025 – členské státy musí vydat seznam základních a důležitých subjektů, který bude alespoň jednou za dva roky aktualizován
Zákon o kybernetické bezpečnosti
Informace jsou čerpány z návrhu zákona, který ještě neprošel celým kolečkem a je tedy možné, že se informace změní. Zároveň je spousta podmínek ponechána na určení konkrétní vyhláškou, které také ještě nejsou vydány. Informace jsou tedy orientační a neúplné, stále se ale musí držet zásad určených ve směrnici NIS2.
Zákon o kybernetické bezpečnosti by měl nabýt účinnosti dnem 18. 10. 2024. Pravděpodobné ale je, že tento termín nebude dodržen. Je ale vhodné se do příprav a úprav pustit co nejříve. Bude nával.
Zákon o kyberbezpečnosti definuje tři typy aktiv, se kterými firma pracuje:
Primární aktivum |
|
Podpůrné aktivum |
|
Technické aktivum | Technické a programové prostředky a vybavení |
Zároveň také definuje dva typy služeb – regulovanou a strategicky významnou.
Regulovaná služba
Služba, jejíž narušení by mohlo mít významný dopad na zabezpečení důležitých společenských nebo ekonomických činností a k jejímuž poskytování jsou používaná aktiva.
Kritéria
- Odvětví – shodná s přílohou NIS 2, viz tabulky vysoce kritických a dalších kritických subjektů výše
- Druh subjektu
- Velikost podniku
- Významnost s ohledem na zabezpečení důležitých společenských nebo ekonomických činností a bezpečnost v ČR
- Narušení by mohlo mít významný dopad na bezpečnost ČR, pořádek nebo veřejné zdraví
- Narušení by mohlo vyvolat systémová rizika s přeshraničním dopadem
- Subjekt nebo služba jsou zásadní pro konkrétní odvětví
- Narušení může vážně zasáhnout do života více než 125 000 osob – ohrožení života, zdraví, majetkové hodnoty, vnitřního a veřejného pořádku, bezpečnosti nebo životního prostředí
- Narušení způsobí zásah do schopnost poskytovat jinou regulovanou službu
- Subjekt je prvkem kritické infrastruktury
Strategicky významná služba
Strategicky významnou službou regulovaná služba, jejíž narušení by mohlo způsobit závažný dopad na bezpečnost České republiky nebo vnitřní či veřejný pořádek.
Detailní podmínky budou určené vyhláškou.
V této oblasti musí poskytovatel služby vést informace o dodavatelích – alespoň těch významných – a hlásit je Úřadu. U těchto poskytovatelů to není jediná nutnost vyplňovat dokumentaci. Poskytovatel strategicky významné služby se musí periodicky přesvědčovat o tom, že je schopný zajišťovat poskytování takové služby.
Kritéria
- Odvětví
- Veřejná správa
- Energetika
- Doprava
- Digitální infrastruktura a služby
Míra uložených povinností
Mohou být v nižší či vyšší míře. Pokud poskytovatel provozuje více než jednu regulovanou službu, spadají všechny do stejné míry povinností, a to vždy do vyšší, pokud alespoň jedna služba splňuje tyto podmínky.
Vyšší povinnosti | Organizační opatření
Technická opatření
|
Nižší povinnosti |
|
Dodavatelský řetězec
Zákon jasně neříká, že dodavatel musí být ve stejné kategorii (například pokud firma spadá do vyšší míry povinností, nemusí nutně vybírat dodavatele se stejnými povinnostmi), nicméně musí při výběru zohlednit bezpečnostní opatření a zároveň jasně do smlouvy promítnout opatření, která je nutná dodržovat.
Co zatím o NIS2 a Zákonu o kybernetické bezpečnosti víme?
Je jasné, že pro spoustu podniků to bude znamenat spoustu papírování navíc. Z druhé strany je to ale krok, který by měl firmám jasně ukázat, že kyberbezpečnost je prioritou a při dnešní provázanosti trhů je to krok, který je nutné podstoupit.
Víme, že do podmínek se trefí velké množství firem z různých oborů. Víme také, že je nutné zohlednit velikost, příjem a také jednotlivé poskytované služby včetně služeb, které jsou odebírané od dodavatelů. A navíc víme, že i když se firma vyhne podmínkám NIS2, neznamená to, že se větším kybernetickým opatřením může vyhnout.
