Smernica o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii (smernica NIS2) – najčastejšie otázky

Smernica NIS – prvý právny predpis EÚ v oblasti kybernetickej bezpečnosti – je prvým horizontálnym nástrojom vnútorného trhu zameraným na zlepšenie odolnosti sietí a informačných systémov v Únii voči rizikám v oblasti kybernetickej bezpečnosti. Smernica NIS napriek svojim významným úspechom preukázala určité obmedzenia. Digitálna transformácia spoločnosti, ktorá sa zintenzívnila krízou spôsobenou ochorením COVID-19, rozšírila prostredie hrozieb. Objavili sa nové výzvy, ktoré si vyžadujú prispôsobené a inovatívne reakcie.

Komisia uskutočnila rozsiahlu konzultáciu so zainteresovanými stranami, abymohla analyzovať vplyv a identifikovať nedostatky smernice NIS. Komisia identifikovala tieto hlavné problémy:

• nedostatočná úroveň kybernetickej odolnosti podnikov pôsobiacich v EÚ
• nekonzistentná odolnosť medzi členskými štátmi a odvetviami
• nedostatočné spoločné chápanie hlavných hrozieb a výziev medzi členskými štátmi
• nedostatočná spoločná reakcia na krízu.

Vdôsledku toho a s cieľom reagovať na rastúce hrozby spôsobené digitalizáciou a prepojenosťou Komisia v decembri 2020 navrhla revidovaný súbor nadčasových pravidiel zameraných na posilnenie úrovne kybernetickej odolnosti v Únii, o ktorom spoluzákonodarcovia 13. mája 2022 dosiahli politickú dohodu a koncom novembra 2022 formálne prijali novú smernicu.

Od krízy spôsobenej ochorením COVID-19 európske hospodárstvo rastie viac závislé od digitálnych riešení ako kedykoľvek predtým. Odvetvia a služby sú čoraz viac prepojené a vzájomne závislé. Výsledkom je rastúca a rýchlo sa vyvíjajúca situácia v oblasti kybernetických hrozieb: akékoľvek narušenie, dokonca aj jedno pôvodne obmedzené na jeden subjekt alebo jeden sektor, môže mať všeobecnejšie kaskádové účinky, čo môže viesť k ďalekosiahlym a dlhodobým negatívnym vplyvom na poskytovanie služieb na celom vnútornom trhu.

Pandémia COVID-19 ukázala zraniteľnosť našich čoraz viac vzájomne závislých spoločností v súvislosti s neočakávanými rizikami. Zintenzívnila už vznikajúce problémy v súčasnej smernici o bezpečnosti sietí a informácií a slúžila ako katalyzátor jej revízie. Konkrétnou zmenou smernice NIS vzhľadom na túto krízu bolo rozšírenie rozsahu pôsobnosti novej smernice, ktorá by sa vzťahovala na konkrétnejšie prvky v sektore zdravotníctva, ako sú subjekty vykonávajúce výskumné a vývojové činnosti v oblasti liekov.

V smernici NIS2 sa stanovujú právne opatrenia na zvýšenie celkovej úrovne kybernetickej bezpečnosti v EÚ s cieľom prispieť k celkovému fungovaniu vnútorného trhu. Vychádza z troch hlavných pilierov, ktoré boli základom smernice NIS 1:

1. Na základe stratégie NIS1 v oblasti bezpečnosti sietí a informačných systémov s cieľom dosiahnuť vysokú úroveň pripravenosti členských štátov sa v smernici NIS2 vyžaduje, aby členské štáty prijali národnú stratégiu kybernetickej bezpečnosti. Od členských štátov sa takisto vyžaduje, aby určili národné tímy reakcie na počítačové bezpečnostné incidenty (CSIRT), ktoré sú zodpovedné za riešenie rizík a incidentov, príslušný vnútroštátny orgán pre kybernetickú bezpečnosť a jednotné kontaktné miesto (SPOC). SPOC musí vykonávať styčnú funkciu s cieľom zabezpečiť cezhraničnú spoluprácu medzi orgánmi členských štátov s príslušnými orgánmi v iných členských štátoch a v prípade potreby s Komisiou a agentúrou ENISA, ako aj zabezpečiť medziodvetvovú spoluprácu s inými príslušnými orgánmi v rámci svojho členského štátu.
2. Smernica NIS2 takisto pokračuje v rámci NIS1, ktorým sa zriaďuje skupina pre spoluprácu v oblasti bezpečnosti sietí a informácií s cieľom podporovať a uľahčovať strategickú spoluprácu a výmenu informácií medzi členskými štátmi, a sieťou jednotiek CSIRT, ktorá podporuje rýchlu a účinnú operačnú spoluprácu medzi vnútroštátnymi jednotkami CSIRT.
3. Smernicou NIS1 sa zabezpečuje, aby sa opatrenia v oblasti kybernetickej bezpečnosti prijímali v siedmich odvetviach, ktoré sú životne dôležité pre naše hospodárstvo a spoločnosť a ktoré sa vo veľkej miere spoliehajú na IKT, ako sú energetika, doprava, bankovníctvo, infraštruktúra finančného trhu, pitná voda, zdravotná starostlivosť a digitálna infraštruktúra.

Verejné a súkromné subjekty identifikované členskými štátmi ako prevádzkovatelia základných služieb (OES) v týchto odvetviach sú povinné vykonať posúdenie kybernetickobezpečnostných rizík a zaviesť vhodné a primerané bezpečnostné opatrenia. Od nich sa vyžaduje, aby oznámili závažné incidenty príslušným orgánom. Okrem toho poskytovatelia kľúčových digitálnych služieb (poskytovatelia digitálnych služieb alebo poskytovatelia digitálnych služieb), ako sú vyhľadávače, služby cloud computingu a online trhy, musia takisto spĺňať bezpečnostné a oznamovacie požiadavky podľa smernice. Na tieto subjekty sa zároveň vzťahuje takzvaný „ľahký“ regulačný režim, z ktorého vyplýva, že tieto subjekty nepodliehajú opatreniam dohľadu ex ante.

Smernicou NIS2 sa výrazne rozširuje rozsah pôsobnosti odvetví a zavádza sa veľkostná prahová hodnota s cieľom vymedziť, ktoré subjekty patria do jej rozsahu pôsobnosti a od ktorých by sa vyžadovalo, aby oznamovali významné kybernetické incidenty príslušným vnútroštátnym orgánom.

Cieľom smernice NIS2 je riešiť nedostatky predchádzajúcich pravidiel, prispôsobiť ich súčasným potrebám a zabezpečiť, aby bola nadčasová.

Na tento účel sa v smernici rozširuje rozsah pôsobnosti predchádzajúcich pravidiel pridaním nových odvetví na základe stupňa ich digitalizácie a vzájomnej prepojenosti a ich dôležitosti pre hospodárstvo a spoločnosť zavedením jasného pravidla pre prahovú hodnotu veľkosti, čo znamená, že do rozsahu pôsobnosti budú zahrnuté všetky stredné a veľké spoločnosti vo vybraných odvetviach. Zároveň ponecháva členským štátom určitú voľnosť pri identifikácii menších subjektov s vysokým bezpečnostným rizikovým profilom, na ktoré by sa mali vzťahovať aj povinnosti vyplývajúce z novej smernice.

Nová smernica tiež odstraňuje rozdiel medzi prevádzkovateľmi základných služieb a poskytovateľmi digitálnych služieb. Subjekty by boli klasifikované na základe ich dôležitosti a rozdelené do dvoch kategórií: kľúčové a dôležité subjekty, ktoré budú podliehať odlišnému režimu dohľadu.

Posilňuje a zjednodušuje požiadavky na bezpečnosť a podávanie správ pre spoločnosti tým, že zavádza prístup k riadeniu rizík, ktorý poskytuje minimálny zoznam základných bezpečnostných prvkov, ktoré sa musia uplatňovať. Novou smernicou sa zavádzajú presnejšie ustanovenia o postupe nahlasovania incidentov, obsahu správ a harmonogramoch.

Okrem toho sa NIS2 zaoberá bezpečnosťou dodávateľských reťazcov a dodávateľských vzťahov tým, že od jednotlivých spoločností vyžaduje, aby riešili kybernetickobezpečnostné riziká v dodávateľských reťazcoch a dodávateľských vzťahoch. Na európskej úrovni smernica posilňuje kybernetickú bezpečnosť dodávateľského reťazca pre kľúčové informačné a komunikačné technológie. Členské štáty môžu v spolupráci s Komisiou a agentúrou ENISA vykonávať na úrovni Únie koordinované posúdenia bezpečnostných rizík kritických dodávateľských reťazcov na základe úspešného prístupu prijatého v kontexte odporúčania Komisie o kybernetickej bezpečnosti sietí 5G.

Smernicou sa zavádzajú prísnejšie opatrenia dohľadu pre vnútroštátne orgány, prísnejšie požiadavky na presadzovanie a jej cieľom je harmonizácia sankčných režimov vo všetkých členských štátoch.

Posilňuje sa nímaj úloha skupiny pre spoluprácu pri formovaní strategických politických rozhodnutí a zvyšuje sa výmena informácií a spolupráca medzi orgánmi členských štátov. Posilňuje sa ním aj operačná spolupráca v rámci siete jednotiek CSIRT a zriaďuje sa európska sieť styčných organizácií pre kybernetické krízy (EU-CyCLONe) na podporu koordinovaného riadenia rozsiahlych kybernetických incidentov a kríz.

NIS2 takisto vytvára základný rámec so zodpovednými kľúčovými aktérmi pre koordinované zverejňovanie informácií o zraniteľnosti v prípade novoobjavených zraniteľných miest v celej EÚ a vytvára databázu zraniteľnosti EÚ pre verejne známe zraniteľné miesta v produktoch IKT a službách IKT, ktorú má prevádzkovať a udržiavať Agentúra EÚ pre kybernetickú bezpečnosť (ENISA).

NIS2 sa vzťahuje na subjekty z týchto sektorov:

Odvetvia s vysokou kritickosťou: energia (elektrina, diaľkové vykurovanie a chladenie, ropa, plyn a vodík); doprava (letecká, železničná, vodná a cestná); bankovníctvo; infraštruktúry finančného trhu; zdravie vrátane výroby farmaceutických výrobkov vrátane vakcín; pitná voda; odpadové vody; digitálna infraštruktúra (internetové výmenné body; Poskytovatelia služieb DNS; Registre názvov TLD; poskytovatelia služieb cloud computingu; poskytovatelia služieb dátového centra; siete na doručovanie obsahu; poskytovatelia dôveryhodných služieb; poskytovatelia verejných elektronických komunikačných sietí a verejne dostupných elektronických komunikačných služieb); Riadenie služieb IKT (poskytovatelia spravovaných služieb a spravovaní poskytovatelia bezpečnostných služieb), verejná správa a kozmický priestor.

Ďalšie kritické sektory: poštové a kuriérske služby; nakladanie s odpadom; chemické látky; potraviny; výroba zdravotníckych pomôcok, počítačov a elektroniky, strojov a zariadení, motorových vozidiel, prívesov a návesov a iných dopravných zariadení; poskytovatelia digitálnych služieb (online trhy, internetové vyhľadávače a platformy služieb sociálnych sietí) a výskumné organizácie.

Z hodnotenia súčasných pravidiel týkajúcich sa požiadaviek na bezpečnosť a ohlasovanie incidentov vyplynulo, že v niektorých prípadoch členské štáty implementovali tieto požiadavky výrazne odlišným spôsobom. To spôsobilo dodatočnú záťaž pre spoločnosti pôsobiace vo viac ako jednom členskom štáte.

Okrem toho, pokiaľ ide o kyberneticko-bezpečnostné požiadavky, chceme si byť istí, že všetky spoločnosti riešia potrebný základný súbor prvkov vo svojich politikách riadenia kyberneticko-bezpečnostných rizík.

Z tohto dôvodu NIS2 obsahuje zoznam 10 kľúčových prvkov, ktoré musia všetky spoločnosti riešiť alebo vykonať v rámci opatrení, ktoré prijímajú, vrátane riešenia incidentov, bezpečnosti dodávateľského reťazca, riešenia zraniteľnosti a zverejňovania, používania kryptografie a prípadne šifrovania.

Pokiaľ ide o oznamovanie incidentov, musíme nájsť správnu rovnováhu medzi potrebou rýchleho podávania správ, aby sa zabránilo potenciálnemu šíreniu incidentov, a potrebou hĺbkového podávania správ s cieľom vyvodiť cenné ponaučenia z jednotlivých incidentov. V novej smernici sa predpokladá viacnásobný prístup k ohlasovaniu incidentov. Dotknuté spoločnosti majú 24 hodín od chvíle, keď sa prvýkrát dozvedia o incidente, aby predložili včasné varovanie jednotke CSIRT alebo príslušnému vnútroštátnemu orgánu, čo by im tiež umožnilo požiadať o pomoc (usmernenie alebo prevádzkové poradenstvo o vykonávaní možných zmierňujúcich opatrení), ak o to požiadajú. Po včasnom varovaní by malo nasledovať oznámenie o incidente do 72 hodín od zistenia incidentu a záverečná správa najneskôr o jeden mesiac neskôr.

Nová smernica NIS stavia dohľad a presadzovanie do centra úloh príslušných orgánov a stanovuje súdržný rámec pre všetky činnosti dohľadu a presadzovania v členských štátoch.

S cieľom posilniť dohľad, ktorý pomáha zabezpečiť účinné dodržiavanie predpisov, NIS2 stanovuje minimálny zoznam prostriedkov dohľadu, prostredníctvom ktorých môžu príslušné orgány vykonávať dohľad nad kľúčovými a dôležitými subjektmi. Patria sem pravidelné a cielené audity, kontroly na mieste a mimo neho, žiadosť o informácie a prístup k dokumentom alebo dôkazom.

Okrem toho sa v novej smernici stanovuje diferenciácia režimov dohľadu medzi kľúčovými a dôležitými subjektmi s cieľom zabezpečiť spravodlivú rovnováhu povinností pre subjekty aj pre príslušné orgány.

Pokiaľ ide o presadzovanie práva, v členských štátoch sa doteraz celkovo zdráhalo uplatňovať sankcie voči subjektom, ktoré nezaviedli bezpečnostné opatrenia alebo nenahlásili incidenty. To môže mať negatívne dôsledky na kybernetickú odolnosť subjektov. S cieľom zabezpečiť účinné presadzovanie sa v novej smernici stanovuje konzistentný rámec pre sankcie v celej Únii. Stanovuje sa v ňom preto minimálny zoznam administratívnych sankcií za porušenie povinností riadenia kybernetickobezpečnostných rizík a ohlasovacích povinností stanovených v smernici NIS2. Tieto sankcie zahŕňajú záväzné pokyny, pokyny na vykonanie odporúčaní bezpečnostného auditu, na zosúladenie bezpečnostných opatrení s požiadavkami NIS a administratívne pokuty. V súvislosti so správnymi pokutami sa v novej smernici o bezpečnosti sietí a informácií rozlišuje medzi kľúčovými a dôležitými subjektmi. Pokiaľ ide o kľúčové subjekty, od členských štátov sa v ňom vyžaduje, aby stanovili určitú úroveň správnych pokút, najmä maximálne 10 000 000 EUR alebo 2 % celkového celosvetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia. Pokiaľ ide o dôležité subjekty, NIS2 vyžaduje od členských štátov, aby stanovili maximálnu pokutu vo výške najmenej 7 000 000 EUR alebo aspoň 1,4 % celkového celosvetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

Príslušné orgány by pri výkone svojich právomocí v oblasti presadzovania práva mali náležite zohľadniť osobitné okolnosti každého prípadu, ako je povaha, závažnosť a trvanie porušenia, spôsobená škoda alebo vzniknuté straty, úmyselný alebo nedbanlivý charakter porušenia.

S cieľom zabezpečiť skutočnú zodpovednosť za kybernetickobezpečnostné opatrenia na organizačnej úrovni zavádza NIS2 ustanovenia o zodpovednosti fyzických osôb zastávajúcich vyššie riadiace pozície v subjektoch, ktoré patria do rozsahu pôsobnosti novej smernice NIS.

Nové pravidlá zlepšujú spôsob, akým EÚ predchádza rozsiahlym kybernetickým incidentom a krízam, rieši ich a reaguje na ne. Robia tak zavedením jasných zodpovedností, vhodného plánovania a intenzívnejšej spolupráce EÚ. NIS2 vyžaduje od členských štátov, aby vymenovali vnútroštátne orgány zodpovedné za riadenie kybernetických kríz, zaviedli vnútroštátne rozsiahle plány kybernetickej bezpečnosti a reakcie na krízy a zriadili európsku sieť styčných organizácií pre kybernetické krízy (EU-CYCLONe) na podporu koordinovaného riadenia rozsiahlych kybernetických incidentov a kríz na operačnej úrovni. Táto sieť je kľúčovým prvkom, ktorý prispieva k vytvoreniu rámca EÚ pre riadenie kybernetických kríz, ktorý Komisia načrtla v roku 2017 odporúčaním o koordinovanej reakcii na rozsiahle incidenty a krízy.

Kľúčové a dôležité subjekty saspravidla považujú za subjekty patriace do jurisdikcie členského štátu, v ktorom sú usadené. Ak je subjekt usadený vo viac ako jednom členskom štáte, mal by patriť do jurisdikcie každého z týchto členských štátov. Príslušné orgány každého z týchto členských štátov by mali spolupracovať, navzájom si poskytovať vzájomnú pomoc a v prípade potreby vykonávať spoločné opatrenia dohľadu. Existuje niekoľko výnimiek z tohto pravidla:

• poskytovatelia verejných elektronických komunikačných sietí alebo poskytovatelia alebo verejne dostupné elektronické komunikačné služby by patrili do právomoci členského štátu, v ktorom poskytujú svoje služby.
• subjekty verejnej správy by patrili do právomoci členského štátu, ktorý ich zriadil.
• určité typy subjektov by patrili do jurisdikcie členského štátu, v ktorom majú svoje hlavné miesto podnikateľskej činnosti v Únii. Medzi tieto subjekty patria poskytovatelia služieb systémov doménových mien, registre názvov domén najvyššej úrovne, subjekty poskytujúce služby registrácie doménových mien, poskytovatelia služieb cloud computingu, poskytovatelia služieb dátového centra, poskytovatelia sietí dodávajúcich obsah, poskytovatelia spravovaných služieb, poskytovatelia riadených bezpečnostných služieb, ako aj poskytovatelia online trhov, internetových vyhľadávačov a platforiem sociálnych sietí. Cieľom je zabezpečiť, aby takéto subjekty nemuseli čeliť mnohým rôznym právnym požiadavkám, pretože poskytujú služby cezhranične v mimoriadnej miere. Na účely účinného dohľadu budú členské štáty od týchto typov subjektov vyžadovať, aby okrem iného oznámili, kde je hlavná prevádzkareň subjektu, ako aj jeho iné právne prevádzkarne v Únii, alebo ak nie sú usadené v Únii, miesto, kde je určený zástupca subjektu. Agentúra ENISA by bola povinná vytvoriť a viesť register s informáciami, ktoré na tomto základe poskytli členské štáty.

Spolupráca EÚ sa rozvíja tým, že sa členským štátom umožní konať spoločne a riešiť vznikajúce bezpečnostné riziká, ktoré predstavuje prebiehajúca digitálna transformácia.

Konkrétnejšie, členské štáty budú môcť spoločne dohliadať na vykonávanie pravidiel EÚ a vzájomne si pomáhať v prípade cezhraničných nekalých praktík, viesť štruktúrovanejší dialóg so súkromným sektorom a koordinovať zverejňovanie zraniteľných miest zistených v softvéri a hardvéri predávanom na vnútornom trhu. Takisto budú môcť koordinovane pracovať na posudzovaní bezpečnostných rizík a hrozieb súvisiacich s novými technológiami, ako to bolo po prvýkrát v prípade 5G.

Členské štáty budú vychádzať zo spolupráce EÚ s cieľom zlepšiť vnútroštátne spôsobilosti prostredníctvom výmeny zamestnancov medzi orgánmi a partnerských preskúmaní. Existujúce skupiny, najmä skupina pre spoluprácu, ktorá združuje vnútroštátne orgány pre kybernetickú bezpečnosť a tímy reakcie na počítačové bezpečnostné incidenty (CSIRT), prispejú k pokroku spolupráce na strategickej aj technickej úrovni.

Smernica NIS2 je úzko prepojená s dvoma ďalšími iniciatívami, a to smernicou o odolnosti kritických subjektov (CER) a nariadením o digitálnej prevádzkovej odolnosti finančného sektora (akt o digitálnej prevádzkovej odolnosti, DORA).

Rozsah pôsobnosti smernice NIS 2 a smernice o odolnosti kritických subjektov (smernica CER) sa do veľkej miery zosúladil s cieľom zabezpečiť, aby sa fyzická a kybernetická odolnosť kritických subjektov riešila komplexne. Subjekty identifikované ako kritické subjekty podľa smernice CER budú takisto podliehať povinnostiam v oblasti kybernetickej bezpečnosti vyplývajúcim zo smernice NIS2. Okrem toho príslušné vnútroštátne orgány podľa smernice CER a smernice NIS2 musia pravidelne spolupracovať a vymieňať si relevantné informácie, napríklad o rizikách, kybernetických hrozbách a incidentoch, ako aj o nekybernetických rizikách, hrozbách a incidentoch. Skupina pre spoluprácu v rámci NIS2 sa bude musieť pravidelne a aspoň raz ročne stretávať so skupinou pre odolnosť kritických subjektov zriadenou podľa smernice CER.

Pokiaľ ide o finančný sektor, zatiaľ čo nová smernica NIS zahŕňa úverové inštitúcie, organizátorov obchodných miest a centrálne protistrany do jej rozsahu pôsobnosti, DORA sa na tieto subjekty bude vzťahovať, pokiaľ ide o povinnosti riadenia kybernetickobezpečnostných rizík a ohlasovania. Zároveň je dôležité udržiavať silný vzťah na výmenu informácií medzi finančným sektorom a ostatnými sektormi, na ktoré sa vzťahuje NIS 2. Na tento účel by sa podľa DORA mohli európske orgány dohľadu (ESA) pre finančný sektor a príslušné vnútroštátne orgány finančného sektora zúčastňovať na diskusiách skupiny pre spoluprácu v oblasti bezpečnosti sietí a informácií. Okrem toho by príslušné orgány DORA mohli konzultovať a vymieňať si relevantné informácie s jednotným kontaktným miestom (SPOC) a jednotkami CSIRT zriadenými v rámci NIS2. Príslušné orgány, SPOC alebo jednotky CSIRT zriadené v rámci NIS2 by takisto dostávali údaje o závažných incidentoch súvisiacich s IKT od príslušných orgánov podľa DORA. Okrem toho by členské štáty mali naďalej začleňovať finančný sektor do svojich stratégií kybernetickej bezpečnosti a vnútroštátne jednotky CSIRT môžu do svojich činností zahrnúť finančný sektor.

Členské štáty budú musieť smernicu transponovať do 17. októbra 2024 (21 mesiacov od nadobudnutia účinnosti NIS2). Komisia potom musí pravidelne preskúmavať fungovanie smernice a po prvýkrát o tom do 17. októbra 2027 podať správu Parlamentu a Rade.