Pravidla zajistí bezpečnější a silnější Evropu tím, že výrazně rozšíří odvětví a typy subjektů spadajících do jejich oblasti působnosti a zpřísní bezpečnostní požadavky na podniky.
Nedávné hrozby zesílily potřebu rychlého a společného posílení kybernetické bezpečnosti EU v zájmu ochrany občanů a podniků. Je rovněž zásadní, aby kritická odvětví a infrastruktura zůstala bezpečná a odolná. Řešením těchto výzev nahrazuje směrnice NIS 2 pravidla pro bezpečnost sítí a informačních systémů (směrnice o bezpečnosti sítí a informací), která byla prvním celounijním právním předpisem o kybernetické bezpečnosti, který připravil půdu pro inovativnější regulační přístup ke kybernetické bezpečnosti v mnoha členských státech.
Ochrana dalších klíčových odvětví
Větší propojení a digitalizace některých odvětví vedou k většímu počtu kybernetických hrozeb. Zajištění toho, aby více odvětví a subjektů muselo přijmout opatření k řízení kybernetických bezpečnostních rizik, zvýší úroveň kybernetické bezpečnosti v Evropě. Směrnice NIS 2 se nyní vztahuje na další odvětví, která mají zásadní význam pro hospodářství a společnost, včetně poskytovatelů veřejných sítí a služeb elektronických komunikací, služeb datových center, nakládání s odpadními vodami a odpady, výroby kritických produktů, poštovních a kurýrních služeb a subjektů veřejné správy. Pravidla se rovněž vztahují obecněji na zdravotnictví, například tím, že zahrnují výzkum a vývoj léčivých přípravků nebo výrobu farmaceutických výrobků. Členské státy budou mít určitý prostor pro uvážení při určování menších subjektů s vysokým bezpečnostním profilem, které by měly být zahrnuty do oblasti působnosti směrnice.
Lepší bezpečnostní požadavky na společnosti
Směrnice NIS 2 rovněž posiluje požadavky na řízení kybernetických bezpečnostních rizik, které jsou společnosti povinny dodržovat. Stejně jako podle směrnice o bezpečnosti sítí a informací budou společnosti muset přijmout vhodná a přiměřená technická, provozní a organizační opatření k řízení kybernetických bezpečnostních rizik, prevenci a minimalizaci dopadu potenciálních incidentů. Tento požadavek se stává mnohem konkrétnějším v rámci směrnice NIS 2 se seznamem cílených opatření, mezi něž patří mimo jiné reakce na incidenty a krizové řízení, řešení a zveřejňování zranitelných míst, politiky a postupy pro posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik nebo hygiena a odborná příprava v oblasti kybernetické bezpečnosti.
S cílem pomoci zvýšit sdílení informací a spolupráci v oblasti řešení kybernetických krizí na vnitrostátní úrovni i na úrovni EU směrnice zefektivňuje povinnosti hlášení incidentů s přesnějšími ustanoveními o podávání zpráv, obsahu a harmonogramu. Kromě toho existují přísnější opatření v oblasti dohledu pro vnitrostátní orgány, jakož i přísnější požadavky na prosazování spolu se seznamem správních sankcí, včetně pokut za porušení povinností v oblasti řízení kybernetických bezpečnostních rizik a podávání zpráv.
Další kroky
Členské státy budou mít 21 měsíců na provedení směrnice NIS2 ve vnitrostátním právu. Během této doby členské státy přijmou a zveřejní předpisy nezbytné pro dosažení souladu s touto směrnicí.
V prosinci 2022 přijala Rada doporučení o celounijním koordinačním přístupu k posílení odolnosti kritické infrastruktury, v němž se členské státy vyzývají, aby urychlily přípravné práce na provedení a uplatňování směrnice o bezpečnosti sítí a informací 2 a směrnice o odolnosti kritických subjektů (CER).
Souvislosti
Kybernetická bezpečnost je prioritou Komise a základním kamenem digitální a propojené Evropy.
První celounijní zákon o kybernetické bezpečnosti, směrnice o bezpečnosti sítí a informací, který vstoupil v platnost v roce 2016, pomohl dosáhnout společné vysoké úrovně bezpečnosti sítí a informačních systémů v celé EU. Směrnice o bezpečnosti sítí a informací se týkala několika odvětví, včetně energetiky, dopravy, bankovnictví a financí, zdravotnictví, dodávek a distribuce pitné vody, jakož i digitální infrastruktury. Vztahoval se rovněž na poskytovatele digitálních služeb, zejména poskytovatele cloudových služeb, on-line tržiště a internetové vyhledávače.
V rámci svého klíčového politického cíle připravit Evropu na digitální věk navrhla Komise v prosinci 2020 revizi směrnice o bezpečnosti sítí a informací. Akt EU o kybernetické bezpečnosti, který je v platnosti od roku 2019, vybavil Evropu rámcem certifikace kybernetické bezpečnosti produktů, služeb a procesů a posílil mandát Agentury EU pro kybernetickou bezpečnost (ENISA). V září 2022 přijala Komise návrh aktu o kybernetické odolnosti, který stanoví požadavky na kybernetickou bezpečnost pro produkty s digitálním prvkem, které zahrnují hardware i software.