Směrnice NIS2: zabezpečení sítí a informačních systémů

Kybernetická bezpečnost zahrnuje ochranu sítí a informačních systémů, jejich uživatelů a dalších dotčených osob před kybernetickými incidenty a hrozbami. V reakci na zvýšenou expozici Evropy kybernetickým hrozbám nahradila směrnice 2022/2555, známá také jako NIS2, svou předchůdkyni, směrnici 2016/1148 nebo NIS1. NIS2 zvyšuje společnou úroveň ambicí EU v oblasti kybernetické bezpečnosti prostřednictvím širší oblasti působnosti, jasnějších pravidel a silnějších nástrojů dohledu. Vyžaduje, aby členské státy posílily své schopnosti v oblasti kybernetické bezpečnosti a zároveň zavedly opatření k řízení rizik a požadavky na podávání zpráv subjektům z více odvětví a stanovily pravidla pro spolupráci, sdílení informací, dohled a prosazování opatření v oblasti kybernetické bezpečnosti.

Směrnice nařizuje, aby každý členský stát přijal vnitrostátní strategii kybernetické bezpečnosti, která zahrnuje politiky v oblasti bezpečnosti dodavatelského řetězce, řízení zranitelností a vzdělávání a informovanosti v oblasti kybernetické bezpečnosti. Členské státy musí rovněž sestavit a pravidelně aktualizovat seznam provozovatelů základních služeb a zajistit, aby tyto subjekty splňovaly požadavky směrnice.

Kromě odvětví, na něž se již vztahuje směrnice NIS 1 – energetika, doprava, zdravotní péče, finance, vodohospodářství a digitální infrastruktura – se nová pravidla vztahují také na poskytovatele veřejných elektronických komunikací, více digitálních služeb (jako jsou sociální platformy), nakládání s odpady a odpadními vodami, výrobu kritických produktů, poštovní a kurýrní služby a veřejnou správu na ústřední i regionální úrovni, jakož i na kosmické odvětví. Střední a velké subjekty v těchto kritických odvětvích budou zpravidla muset přijmout vhodná opatření k řízení kybernetických bezpečnostních rizik a oznamovat významné incidenty příslušným vnitrostátním orgánům. Jedná se o incidenty, které by mohly způsobit významné narušení nebo poškození.

Směrnice rovněž obsahuje ustanovení o dohledu, prosazování a dobrovolných vzájemných hodnoceních s cílem posílit vzájemnou důvěru a schopnosti v oblasti kybernetické bezpečnosti v celé EU. Zavádí rovněž odpovědnost nejvyššího vedení za nedodržování opatření k řízení kybernetických bezpečnostních rizik, čímž upozorňuje na kybernetickou bezpečnost správní radu.

Směrnice zřizuje síť skupin pro reakci na počítačové bezpečnostní incidenty (CSIRT) za účelem výměny informací o kybernetických hrozbách a reakce na incidenty. Tyto týmy mají zásadní význam pro udržení informovanosti o situaci a poskytování pomoci. Za účelem řízení rozsáhlých kybernetických bezpečnostních incidentů nebo krizí vytváří směrnice evropskou síť styčných organizací pro řešení kybernetických krizí (EU-CyCLONe). Tato síť podporuje koordinované řízení a zajišťuje pravidelnou výměnu informací mezi členskými státy a orgány EU v případě rozsáhlých incidentů a krizí. 

Současně je skupina pro spolupráci v oblasti bezpečnosti sítí a informací platformou zřízenou směrnicí o bezpečnosti sítí a informací s cílem usnadnit strategickou spolupráci a výměnu informací mezi členskými státy EU, Evropskou komisí a Agenturou EU pro kybernetickou bezpečnost (ENISA). Skupina zveřejňuje nezávazné pokyny a doporučení na podporu provádění směrnice o bezpečnosti sítí a informací.

Dne 20. ledna 2026 navrhla Komise v rámci nového balíčku týkajícího se kybernetické bezpečnosti cílené změny směrnice NIS2 s cílem zvýšit právní jasnost. Změny zjednoduší dodržování pravidel EU v oblasti kybernetické bezpečnosti a požadavků na řízení rizik pro společnosti působící v EU. Usnadní dodržování předpisů pro 28 700 společností, včetně 6 200 mikropodniků a malých podniků.  

Souvislosti

Směrnice o bezpečnosti sítí a informací 1 (směrnice 2016/1148) byla prvním komplexním právním předpisem EU zaměřeným na posílení kybernetické bezpečnosti sítí a informačních systémů s cílem zajistit životně důležité služby pro hospodářství a společnost EU. V prosinci 2020 navrhla Komise revizi směrnice NIS 1, jejímž výsledkem bylo přijetí směrnice NIS 2, která vstoupila v platnost v lednu 2023. Členské státy měly směrnici NIS2 provést ve vnitrostátním právu do 17. října 2024. NIS 2 zrušila NIS1 s účinností od 18. října 2024.