Směrnice NIS2: nová pravidla pro kybernetickou bezpečnost sítí a informačních systémů

Kybernetická bezpečnost zahrnuje ochranu sítí a informačních systémů, jejich uživatelů a dalších dotčených osob před kybernetickými incidenty a hrozbami. V reakci na zvýšenou expozici Evropy kybernetickým hrozbám nahradila směrnice 2022/2555, známá také jako NIS2, svou předchůdkyni, směrnici 2016/1148 nebo NIS1. NIS2 zvyšuje společnou úroveň ambicí EU v oblasti kybernetické bezpečnosti prostřednictvím širší oblasti působnosti, jasnějších pravidel a silnějších nástrojů dohledu. Vyžaduje, aby členské státy posílily své schopnosti v oblasti kybernetické bezpečnosti a zároveň zavedly opatření k řízení rizik a požadavky na podávání zpráv subjektům z více odvětví a stanovily pravidla pro spolupráci, sdílení informací, dohled a prosazování opatření v oblasti kybernetické bezpečnosti.

Směrnice nařizuje, aby každý členský stát přijal vnitrostátní strategii kybernetické bezpečnosti, která zahrnuje politiky v oblasti bezpečnosti dodavatelského řetězce, řízení zranitelností a vzdělávání a informovanosti v oblasti kybernetické bezpečnosti. Členské státy musí rovněž sestavit a pravidelně aktualizovat seznam provozovatelů základních služeb a zajistit, aby tyto subjekty splňovaly požadavky směrnice. 

Kromě odvětví, na něž se již vztahuje směrnice o bezpečnosti sítí a informací 1, jako je energetika, doprava, zdravotní péče, finance, vodohospodářství a digitální infrastruktura, se tato pravidla vztahují na poskytovatele veřejných služeb elektronických komunikací, více digitálních služeb, jako jsou sociální platformy, nakládání s odpadními vodami a odpady, výroba kritických produktů, poštovní a kurýrní služby, veřejná správa na ústřední i regionální úrovni nebo ve vesmíru. Střední a velké subjekty v těchto kritických odvětvích budou zpravidla muset přijmout vhodná opatření k řízení kybernetických bezpečnostních rizik a oznamovat významné incidenty příslušným vnitrostátním orgánům. Jedná se o incidenty, které by mohly způsobit významné narušení nebo poškození. 

Směrnice rovněž obsahuje ustanovení o dohledu, prosazování a dobrovolných vzájemných hodnoceních s cílem posílit vzájemnou důvěru a schopnosti v oblasti kybernetické bezpečnosti v celé EU. Zavádí rovněž odpovědnost nejvyššího vedení za nedodržování opatření k řízení kybernetických bezpečnostních rizik, čímž upozorňuje na kybernetickou bezpečnost správní radu.

Směrnice zřizuje síť skupin pro reakci na počítačové bezpečnostní incidenty (CSIRT) za účelem výměny informací o kybernetických hrozbách a reakce na incidenty. Tyto týmy mají zásadní význam pro udržení informovanosti o situaci a poskytování pomoci. Za účelem řízení rozsáhlých kybernetických bezpečnostních incidentů nebo krizí vytváří směrnice ⁇ Evropskou síť styčných organizací pro řešení kybernetických krizí (EU-CyCLONe) ⁇ . Tato síť podporuje koordinované řízení a zajišťuje pravidelnou výměnu informací mezi členskými státy a orgány EU v případě rozsáhlých incidentů a krizí. 

Souběžně s tím je skupina pro spolupráci v oblasti bezpečnosti sítí a informací platformou zřízenou směrnicí o bezpečnosti sítí a informací s cílem usnadnit strategickou spolupráci a výměnu informací mezi členskými státy EU, Evropskou komisí a Agenturou EU pro kybernetickou bezpečnost (ENISA). Skupina zveřejňuje nezávazné pokyny a doporučení na podporu provádění směrnice o bezpečnosti sítí a informací.

Souvislosti

Směrnice o bezpečnosti sítí a informací 1 (směrnice 2016/1148) byla prvním komplexním právním předpisem EU zaměřeným na posílení kybernetické bezpečnosti sítí a informačních systémů s cílem zajistit životně důležité služby pro hospodářství a společnost EU. V prosinci 2020 navrhla Komise revizi směrnice NIS 1, jejímž výsledkem bylo přijetí směrnice NIS 2, která vstoupila v platnost v lednu 2023. Členské státy měly směrnici NIS2 provést ve vnitrostátním právu do 17. října 2024. NIS 2 zrušila NIS1 s účinností od 18. října 2024.