Směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v celé Unii (směrnice o bezpečnosti sítí a informací 2) – časté otázky

Směrnice o bezpečnosti sítí a informací – první právní předpis EU v oblasti kybernetické bezpečnosti – je prvním horizontálním nástrojem pro vnitřní trh, jehož cílem je zlepšit odolnost sítí a informačních systémů v Unii proti kybernetickým rizikům. Navzdory pozoruhodným úspěchům směrnice o bezpečnosti sítí a informací prokázala určitá omezení. Digitální transformace společnosti, kterou zintenzivnila krize COVID-19, rozšířila prostředí hrozeb. Objevily se nové výzvy, které vyžadují přizpůsobené a inovativní reakce.

Aby mohla Komise analyzovat dopad a zjistit nedostatky směrnice o bezpečnosti sítí a informací, provedla rozsáhlou konzultaci se zúčastněnými stranami. Komise identifikovala tyto hlavní problémy:

• nedostatečná úroveň kybernetické odolnosti podniků působících v EU
• nejednotná odolnost mezi členskými státy a odvětvími
• nedostatečné společné chápání hlavních hrozeb a výzev mezi členskými státy
• nedostatečná společná reakce na krize.

V důsledku toho a s cílem reagovat na rostoucí hrozby způsobené digitalizací a propojeností navrhla Komise v prosinci 2020 revidovaný soubor pravidel, která obstojí i v budoucnu, jejichž cílem je posílit úroveň kybernetické odolnosti v Unii, o nichž spolunormotvůrci dosáhli politické dohody dne 13. května 2022 a na konci listopadu 2022 formálně přijali novou směrnici.

Od krize COVID-19 je evropské hospodářství více závislé na digitálních řešeních než kdykoli předtím. Odvětví a služby jsou stále více vzájemně propojené a vzájemně závislé. To vedlo k rostoucímu a rychle se vyvíjejícímu prostředí hrozeb v oblasti kybernetické bezpečnosti: jakékoli narušení, a to i zpočátku omezené na jeden subjekt nebo jedno odvětví, může mít kaskádové účinky obecněji, což může mít za následek dalekosáhlé a dlouhodobé negativní dopady na poskytování služeb na celém vnitřním trhu.

Pandemie COVID-19 ukázala zranitelnost našich stále více vzájemně závislých společností tváří v tvář neočekávaným rizikům. Zintenzivnila již vznikající problémy ve stávající směrnici o bezpečnosti sítí a informací a sloužila jako katalyzátor její revize. Konkrétní změnou směrnice o bezpečnosti sítí a informací s ohledem na tuto krizi bylo rozšířit oblast působnosti nové směrnice tak, aby zahrnovala konkrétnější prvky ve zdravotnictví, jako jsou subjekty provádějící výzkum a vývoj léčivých přípravků.

Směrnice o bezpečnosti sítí a informací 2 stanoví právní opatření ke zvýšení celkové úrovně kybernetické bezpečnosti v EU s cílem přispět k celkovému fungování vnitřního trhu. Vychází ze tří hlavních pilířů, které byly základem směrnice o bezpečnosti sítí a informací:

1. Směrnice o bezpečnosti sítí a informací vychází ze strategie bezpečnosti sítí a informačních systémů pro bezpečnost sítí a informačních systémů s cílem dosáhnout vysoké úrovně připravenosti členských států a vyžaduje, aby členské státy přijaly vnitrostátní strategii kybernetické bezpečnosti. Členské státy jsou rovněž povinny určit vnitrostátní týmy pro reakci na počítačové bezpečnostní incidenty (CSIRT), které jsou odpovědné za řešení rizik a incidentů, příslušný vnitrostátní orgán pro kybernetickou bezpečnost a jednotné kontaktní místo (SPOC). Jednotný kontaktní subjekt musí vykonávat styčnou funkci k zajištění přeshraniční spolupráce mezi orgány členských států s příslušnými orgány v jiných členských státech a případně s Komisí a agenturou ENISA, jakož i k zajištění meziodvětvové spolupráce s jinými příslušnými orgány v rámci svého členského státu.
2. Směrnice o bezpečnosti sítí a informací2 rovněž pokračuje v rámci NIS1, kterým se zřizuje Skupina pro spolupráci v oblasti bezpečnosti sítí a informací s cílem podporovat a usnadňovat strategickou spolupráci a výměnu informací mezi členskými státy, a síť CSIRT, která podporuje rychlou a účinnou operativní spolupráci mezi vnitrostátními týmy CSIRT.
3. Směrnice o bezpečnosti sítí a informací 1 zajišťuje, že opatření v oblasti kybernetické bezpečnosti jsou přijímána v sedmi odvětvích, která jsou životně důležitá pro naše hospodářství a společnost a která jsou silně závislá na informačních a komunikačních technologiích, jako je energetika, doprava, bankovnictví, infrastruktura finančního trhu, pitná voda, zdravotní péče a digitální infrastruktura.

Veřejné a soukromé subjekty určené členskými státy jako provozovatelé základních služeb v těchto odvětvích musí provést posouzení rizik v oblasti kybernetické bezpečnosti a zavést vhodná a přiměřená bezpečnostní opatření. Jsou povinni oznámit závažné incidenty příslušným orgánům. Kromě toho musí poskytovatelé klíčových digitálních služeb (poskytovatelé digitálních služeb nebo poskytovatelé digitálních služeb), jako jsou vyhledávače, služby cloud computingu a on-line tržiště, rovněž dodržovat požadavky na bezpečnost a oznamování podle směrnice. Zároveň tyto subjekty podléhají tzv. „lehkému“ regulačnímu režimu, který znamená, že tyto subjekty nepodléhají opatřením dohledu ex ante.

Směrnice o bezpečnosti sítí a informací2 významně rozšiřuje oblast působnosti odvětví a zavádí prahovou hodnotu velikosti, která stanoví, které subjekty spadají do její oblasti působnosti a které by byly povinny hlásit významné kybernetické incidenty příslušným vnitrostátním orgánům.

Cílem směrnice o bezpečnosti sítí a informací 2 je řešit nedostatky předchozích pravidel, přizpůsobit je současným potřebám a zajistit, aby tato pravidla obstála i v budoucnu.

Za tímto účelem směrnice rozšiřuje oblast působnosti předchozích pravidel tím, že doplňuje nová odvětví na základě jejich stupně digitalizace a propojenosti a toho, jak zásadní jsou pro hospodářství a společnost, a to zavedením pravidla jasného prahu velikosti, což znamená, že do oblasti působnosti budou zahrnuty všechny střední a velké společnosti ve vybraných odvětvích. Zároveň ponechává členským státům určitý prostor pro uvážení, pokud jde o určení menších subjektů s vysokým bezpečnostním rizikovým profilem, na něž by se rovněž měly vztahovat povinnosti vyplývající z nové směrnice.

Nová směrnice rovněž odstraňuje rozdíl mezi provozovateli základních služeb a poskytovateli digitálních služeb. Subjekty by byly klasifikovány na základě jejich významu a rozděleny do dvou kategorií: základní a důležité subjekty, které budou podléhat odlišnému režimu dohledu.

Posiluje a zefektivňuje požadavky na bezpečnost a podávání zpráv pro společnosti tím, že ukládá přístup k řízení rizik, který poskytuje minimální seznam základních bezpečnostních prvků, které musí být použity. Nová směrnice zavádí přesnější ustanovení o postupu oznamování incidentů, obsahu oznámení a harmonogramech.

Kromě toho se síť NIS2 zabývá bezpečností dodavatelských řetězců a dodavatelských vztahů tím, že vyžaduje, aby jednotlivé společnosti řešily kybernetická rizika v dodavatelských řetězcích a dodavatelských vztazích. Na evropské úrovni směrnice posiluje kybernetickou bezpečnost dodavatelského řetězce pro klíčové informační a komunikační technologie. Členské státy mohou ve spolupráci s Komisí a agenturou ENISA provádět na úrovni Unie koordinované posouzení bezpečnostních rizik kritických dodavatelských řetězců na základě úspěšného přístupu přijatého v souvislosti s doporučením Komise o kybernetické bezpečnosti sítí 5G.

Směrnice zavádí přísnější opatření v oblasti dohledu pro vnitrostátní orgány, přísnější požadavky na prosazování a usiluje o harmonizaci sankčních režimů ve všech členských státech.

Rovněž posiluje úlohu skupiny pro spolupráci při utváření strategických politických rozhodnutí a zvyšuje sdílení informací a spolupráci mezi orgány členských států. Posiluje rovněž operativní spolupráci v rámci sítě CSIRT a zřizuje evropskou síť styčných organizací pro kybernetické krize (EU-CyCLONe) na podporu koordinovaného řízení rozsáhlých kybernetických bezpečnostních incidentů a krizí.

NIS2 rovněž stanoví základní rámec s odpovědnými klíčovými aktéry pro koordinované zveřejňování zranitelností u nově objevených zranitelností v celé EU a vytváří databázi zranitelnosti EU pro veřejně známá zranitelná místa v produktech a službách IKT, kterou provozuje a spravuje Agentura EU pro kybernetickou bezpečnost (ENISA).

NIS2 zahrnuje subjekty z těchto odvětví:

Odvětví s vysokou kritičností: energie (elektřina, dálkové vytápění a chlazení, ropa, plyn a vodík); doprava (letecká, železniční, vodní a silniční); bankovnictví; infrastruktury finančního trhu; zdraví včetně výroby farmaceutických výrobků včetně očkovacích látek; pitná voda; odpadní vody; digitální infrastruktura (internetová výměnná místa; Poskytovatelé služeb DNS; Registry názvů TLD; poskytovatelé služeb cloud computingu; poskytovatelé služeb datových center; sítě pro doručování obsahu; poskytovatelé důvěryhodných služeb; poskytovatelé veřejných sítí elektronických komunikací a veřejně dostupných služeb elektronických komunikací); Řízení služeb IKT (poskytovatelé spravovaných služeb a poskytovatelé spravovaných bezpečnostních služeb), veřejná správa a prostor.

Další kritická odvětví: poštovní a kurýrní služby; nakládání s odpady; chemické látky; potraviny; výroba zdravotnických prostředků, počítačů a elektroniky, strojů a zařízení, motorových vozidel, přívěsů a návěsů a jiných dopravních prostředků; poskytovatelé digitálních služeb (internetová tržiště, internetové vyhledávače a platformy sociálních sítí) a výzkumné organizace.

Hodnocení stávajících pravidel týkajících se požadavků na hlášení bezpečnosti a incidentů ukázalo, že v některých případech členské státy provedly tyto požadavky výrazně odlišnými způsoby. To vytvořilo další zátěž pro společnosti působící ve více než jednom členském státě.

Kromě toho, pokud jde o požadavky na kybernetickou bezpečnost, chceme si být jisti, že všechny společnosti řeší nezbytný základní soubor prvků ve svých politikách řízení rizik v oblasti kybernetické bezpečnosti.

Z tohoto důvodu obsahuje síť NIS2 seznam deseti klíčových prvků, které musí všechny společnosti řešit nebo provádět v rámci opatření, která přijímají, včetně řešení incidentů, bezpečnosti dodavatelského řetězce, řešení zranitelnosti a zveřejňování informací, používání kryptografie a případně šifrování.

Pokud jde o hlášení incidentů, musíme nalézt správnou rovnováhu mezi potřebou rychlého ohlašování, aby se zabránilo možnému šíření incidentů, a potřebou podrobného podávání zpráv, abychom získali cenné poznatky získané z jednotlivých incidentů. Nová směrnice předpokládá vícestupňový přístup k hlášení incidentů. Dotčené společnosti mají 24 hodin od okamžiku, kdy se poprvé dozvěděly o incidentu, aby předložily včasné varování týmu CSIRT nebo příslušnému vnitrostátnímu orgánu, což by jim rovněž umožnilo požádat o pomoc (pokyny nebo provozní poradenství ohledně provádění možných zmírňujících opatření), pokud o to požádají. Po včasném varování by mělo následovat oznámení incidentu do 72 hodin od zjištění incidentu a závěrečná zpráva nejpozději o měsíc později.

Nová směrnice o bezpečnosti sítí a informací staví dohled a vymáhání do středu úkolů příslušných orgánů a stanoví soudržný rámec pro všechny činnosti v oblasti dohledu a prosazování práva ve všech členských státech.

S cílem posílit dohled, který pomáhá zajistit účinné dodržování předpisů, stanoví NIS2 minimální seznam prostředků dohledu, jejichž prostřednictvím mohou příslušné orgány dohlížet na základní a důležité subjekty. Patří mezi ně pravidelné a cílené audity, kontroly na místě a na dálku, žádost o informace a přístup k dokumentům nebo důkazům.

Nová směrnice navíc zavádí rozlišení režimů dohledu mezi základními a důležitými subjekty s cílem zajistit spravedlivou rovnováhu povinností jak pro subjekty, tak pro příslušné orgány.

Pokudjde o prosazování, dosud se v členských státech celkově neochota uplatňovat sankce vůči subjektům, které nezavedly bezpečnostní opatření nebo nenahlásily incidenty. To může mít negativní důsledky pro kybernetickou odolnost subjektů. V zájmu účinného prosazování stanoví nová směrnice jednotný rámec pro sankce v celé Unii. Stanoví proto minimální seznam správních sankcí za porušení povinností v oblasti řízení kybernetických bezpečnostních rizik a podávání zpráv stanovených ve směrnici o bezpečnosti sítí a informací 2. Tyto sankce zahrnují závazné pokyny, pokyny k provedení doporučení bezpečnostního auditu, uvedení bezpečnostních opatření do souladu s požadavky bezpečnosti sítí a informací a správní pokuty. Pokud jde o správní pokuty, nová směrnice o bezpečnosti sítí a informací rozlišuje mezi základními a důležitými subjekty. Pokud jde o základní subjekty, vyžaduje, aby členské státy stanovily určitou úroveň správních pokut, zejména maximálně 10 000 000 EUR nebo 2 % celkového celosvětového ročního obratu za předchozí účetní období, podle toho, která hodnota je vyšší. Pokud jde o důležité subjekty, směrnice NIS2 vyžaduje, aby členské státy stanovily maximální pokutu ve výši nejméně 7 000 000 EUR nebo alespoň 1,4 % celkového celosvětového ročního obratu za předchozí účetní období, podle toho, která částka je vyšší.

Při výkonu svých donucovacích pravomocí by příslušné orgány měly náležitě zohlednit konkrétní okolnosti každého případu, jako je povaha, závažnost a doba trvání porušení, vzniklá škoda nebo vzniklé ztráty, úmyslná nebo nedbalost porušení.

S cílem zajistit skutečnou odpovědnost za opatření v oblasti kybernetické bezpečnosti na organizační úrovni zavádí NIS2 ustanovení o odpovědnosti fyzických osob zastávajících vedoucí funkce v subjektech spadajících do oblasti působnosti nové směrnice o bezpečnosti sítí a informací.

Nová pravidla zlepšují způsob, jakým EU předchází rozsáhlým kybernetickým incidentům a krizím a reaguje na ně. Činí tak zavedením jasných odpovědností, vhodným plánováním a větší spoluprací EU. NIS2 vyžaduje, aby členské státy jmenovaly vnitrostátní orgány odpovědné za řízení kybernetických krizí, zavedly vnitrostátní plány rozsáhlých kybernetických bezpečnostních incidentů a reakce na krize a zřídily evropskou síť styčných organizací pro kybernetické krize (EU-CYCLONe) na podporu koordinovaného řízení rozsáhlých kybernetických bezpečnostních incidentů a krizí na operační úrovni. Tato síť je klíčovou složkou přispívající k vytvoření rámce EU pro řešení kybernetických krizí, který Komise nastínila v roce 2017 v doporučení o koordinované reakci na rozsáhlé incidenty a krize.

Zásadní a důležité subjekty sezpravidla považují za subjekty spadající do pravomoci členského státu, v němž jsou usazeny. Je-li subjekt usazen ve více než jednom členském státě, měl by spadat do pravomoci každého z těchto členských států. Příslušné orgány by měly každý z těchto členských států spolupracovat, poskytovat si vzájemnou pomoc a případně provádět společná opatření v oblasti dohledu. Z tohoto pravidla existuje několik výjimek:

• poskytovatelé veřejných sítí elektronických komunikací nebo poskytovatelé nebo veřejně dostupné služby elektronických komunikací by spadali do pravomoci členského státu, v němž poskytují své služby.
• subjekty veřejné správy by spadaly do pravomoci členského státu, který je zřídil.
• určité typy subjektů by spadaly do pravomoci členského státu, v němž mají hlavní provozovnu v Unii. Mezi tyto subjekty patří poskytovatelé služeb systému doménových jmen, registry doménových jmen nejvyšší úrovně, subjekty poskytující služby registrace doménových jmen, poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center, poskytovatelé sítí pro doručování obsahu, poskytovatelé spravovaných služeb, poskytovatelé spravovaných bezpečnostních služeb, jakož i poskytovatelé on-line tržiště, internetových vyhledávačů a platforem sociálních sítí. Cílem je zajistit, aby tyto subjekty nemusely čelit velkému množství různých právních požadavků, neboť poskytují služby přes hranice ve zvláště vysoké míře. Pro účely účinného dohledu budou členské státy povinny tyto typy subjektů informovat mimo jiné o tom, kde je hlavní provozovna subjektu, jakož i o dalších právních provozovnách v Unii, nebo pokud nejsou usazeny v Unii, o místě, kde je jmenován zástupce subjektu. Agentura ENISA by byla povinna vytvořit a vést rejstřík s informacemi poskytnutými na tomto základě členskými státy.

Spolupráce EU se rozvíjí tím, že členským státům umožňuje jednat společně a řešit vznikající bezpečnostní rizika vyplývající z probíhající digitální transformace.

Konkrétně členské státy budou moci společně dohlížet na provádění pravidel EU a vzájemně si pomáhat v případě přeshraničních nekalých praktik, vést strukturovanější dialog se soukromým sektorem a koordinovat zveřejňování slabých míst zjištěných v softwaru a hardwaru prodávaných na celém vnitřním trhu. Budou také moci pracovat koordinovaně na posouzení bezpečnostních rizik a hrozeb souvisejících s novými technologiemi, jak tomu bylo poprvé u sítí 5G.

Členské státy budou vycházet ze spolupráce EU s cílem zlepšit vnitrostátní kapacity prostřednictvím výměny zaměstnanců mezi orgány a vzájemných hodnocení. Stávající skupiny, zejména skupina pro spolupráci, která sdružuje vnitrostátní orgány pro kybernetickou bezpečnost, a síť týmů pro reakci na počítačové bezpečnostní incidenty (CSIRT) přispějí k prohloubení spolupráce na strategické i technické úrovni.

Směrnice o bezpečnosti sítí a informací je úzce spojena se dvěma dalšími iniciativami, se směrnicí o odolnosti kritických subjektů (CER) a s nařízením o digitální provozní odolnosti finančního sektoru (zákon o digitální provozní odolnosti, DORA).

Oblast působnosti směrnice o bezpečnosti sítí a informací 2 a směrnice o odolnosti kritických subjektů byly do značné míry sladěny s cílem zajistit komplexní řešení fyzické a kybernetické odolnosti kritických subjektů. Subjekty, které jsou podle směrnice CER označeny za kritické subjekty, budou rovněž podléhat povinnostem týkajícím se kybernetické bezpečnosti podle směrnice o bezpečnosti sítí a informací 2. Kromě toho musí příslušné vnitrostátní orgány podle směrnice CER a směrnice NIS2 pravidelně spolupracovat a vyměňovat si relevantní informace, například o rizicích, kybernetických hrozbách a incidentech, jakož i o nekybernetických rizicích, hrozbách a incidentech. Skupina pro spolupráci v rámci NIS2 se bude muset pravidelně a alespoň jednou ročně scházet se skupinou pro odolnost kritických subjektů zřízenou podle směrnice CER.

Pokudjde o finanční sektor, zatímco nová směrnice o bezpečnosti sítí a informací zahrnuje úvěrové instituce, organizátory obchodních systémů a ústřední protistrany do její oblasti působnosti, DORA se na tyto subjekty bude vztahovat, pokud jde o řízení rizik v oblasti kybernetické bezpečnosti a povinnosti podávání zpráv. Zároveň je důležité zachovat silný vztah pro výměnu informací mezi finančním sektorem a ostatními odvětvími, na něž se vztahuje NIS 2. Za tímto účelem by se v rámci DORA mohly účastnit jednání skupiny pro spolupráci v oblasti bezpečnosti sítí a informací evropské orgány dohledu (ESA) pro finanční sektor a příslušné vnitrostátní orgány finančního sektoru. Příslušné orgány DORA by navíc mohly konzultovat a sdílet relevantní informace s jednotným kontaktním místem (SPOC) a týmy CSIRT zřízenými v rámci NIS2. Příslušné orgány, SPOC nebo týmy CSIRT zřízené podle NIS2 by rovněž obdržely od příslušných orgánů v rámci DORA podrobnosti o závažných incidentech souvisejících s IKT. Kromě toho by členské státy měly i nadále zařazovat finanční sektor do svých strategií kybernetické bezpečnosti a vnitrostátní týmy CSIRT mohou finanční sektor zahrnout do svých činností.

Členské státy budou muset směrnici provést do 17. října 2024 (21 měsíců od vstupu směrnice o bezpečnosti sítí a informací v platnost2). Komise pak musí pravidelně přezkoumávat fungování směrnice a do 17. října 2027 o tom poprvé podat zprávu Parlamentu a Radě.