Navzdory pozoruhodným úspěchům směrnice o bezpečnosti sítí a informačních systémů (směrnice o bezpečnosti sítí a informací), která připravila půdu pro významnou změnu myšlení, institucionálního a regulačního přístupu k kybernetické bezpečnosti v mnoha členských státech, nyní rovněž prokázala svá omezení. Digitální transformace společnosti (zintenzivněná krizí COVID-19) rozšířila prostředí hrozeb a přináší nové výzvy, které vyžadují přizpůsobené a inovativní reakce.
Jakékoli narušení, a to i zpočátku omezené na jeden subjekt nebo jedno odvětví, může mít obecnější kaskádové účinky, což může mít za následek dalekosáhlé a dlouhodobé negativní dopady na poskytování služeb na celém vnitřním trhu.
V zájmu řešení těchto výzev, jak bylo oznámeno ve sdělení o formování digitální budoucnosti Evropy, Komise urychlila přezkum směrnice do konce roku 2020, provedla posouzení dopadů a předložila nový legislativní návrh.
Klíčové prvky návrhu Komise
Cílem nového návrhu Komise je řešit nedostatky předchozí směrnice o bezpečnosti sítí a informací, přizpůsobit ji současným potřebám a zajistit, aby tato směrnice obstála i v budoucnu.
Za tímto účelem návrh Komise rozšiřuje oblast působnosti stávající směrnice o bezpečnosti sítí a informací přidáním nových odvětví založených na jejich kritičnosti pro hospodářství a společnost a zavedením jasného omezení velikosti, což znamená, že do oblasti působnosti budou zahrnuty všechny střední a velké společnosti ve vybraných odvětvích. Zároveň ponechává členským státům určitou flexibilitu při identifikaci menších subjektů s vysokým bezpečnostním rizikovým profilem.
Návrh rovněž odstraňuje rozdíl mezi provozovateli základních služeb a poskytovateli digitálních služeb. Subjekty by byly klasifikovány na základě jejich významu a rozděleny do podstatných a důležitých kategorií, v důsledku čehož by byly podrobeny různým režimům dohledu.
Návrh posiluje bezpečnostní požadavky pro společnosti tím, že ukládá přístup k řízení rizik, který poskytuje minimální seznam základních bezpečnostních prvků, které musí být použity. Návrh zavádí přesnější ustanovení o postupu oznamování incidentů, obsahu oznámení a harmonogramech.
Komise dále navrhuje řešit bezpečnost dodavatelských řetězců a dodavatelských vztahů tím, že bude vyžadovat, aby jednotlivé společnosti řešily rizika kybernetické bezpečnosti v dodavatelských řetězcích a dodavatelských vztazích. Na evropské úrovni návrh posiluje kybernetickou bezpečnost dodavatelského řetězce pro klíčové informační a komunikační technologie. Členské státy ve spolupráci s Komisí a agenturou ENISA budou provádět koordinovaná posouzení rizik kritických dodavatelských řetězců na základě úspěšného přístupu přijatého v souvislosti s doporučením Komise o kybernetické bezpečnosti sítí 5G.
Návrh zavádí přísnější opatření v oblasti dohledu pro vnitrostátní orgány, přísnější požadavky na prosazování a jeho cílem je harmonizovat sankční režimy ve všech členských státech.
Návrh rovněž posiluje úlohu skupiny pro spolupráci při utváření strategických politických rozhodnutí o vznikajících technologiích a nových trendech a zvyšuje sdílení informací a spolupráci mezi orgány členských států. Posiluje rovněž operativní spolupráci, včetně spolupráce v oblasti řízení kybernetických krizí.
Návrh Komise stanoví základní rámec s odpovědnými klíčovými aktéry v oblasti koordinovaného zveřejňování zranitelnosti u nově objevených zranitelností v celé EU a vytvoření registru EU, který provozuje Agentura Evropské unie pro kybernetickou bezpečnost (ENISA).
Další kroky
Dalšími relevantními kroky jsou:
- Návrh bude předmětem jednání mezi spolunormotvůrci, zejména Radou EU a Evropským parlamentem.
- Jakmile bude návrh schválen a následně přijat, budou muset členské státy provést směrnici o bezpečnosti sítí a informací do 18 měsíců.
- Komise musí pravidelně přezkoumávat směrnici o bezpečnosti sítí a informací a poprvé podat zprávu o přezkumu 54 měsíců po vstupu v platnost.
- Evropská komise se těší na provedení nové strategie v oblasti kybernetiky v nadcházejících měsících.
Related content
Policy and legislation | 16 Prosinec 2020
-