Smernica NIS 2: zabezpečenie sietí a informačných systémov

Kybernetická bezpečnosť zahŕňa ochranu sietí a informačných systémov (NIS), ich používateľov a iných dotknutých osôb pred kybernetickými incidentmi a hrozbami. S cieľom reagovať na zvýšené vystavenie Európy kybernetickým hrozbám nahradila smernica 2022/2555, známa aj ako NIS2, svojho predchodcu, smernicu 2016/1148 alebo NIS1. Smernicou NIS 2 sa zvyšuje spoločná úroveň ambícií EÚ v oblasti kybernetickej bezpečnosti prostredníctvom širšieho rozsahu pôsobnosti, jasnejších pravidiel a silnejších nástrojov dohľadu. Od členských štátov sa v ňom vyžaduje, aby posilnili svoje spôsobilosti v oblasti kybernetickej bezpečnosti a zároveň zaviedli opatrenia na riadenie rizík a požiadavky na podávanie správ subjektom z viacerých odvetví a stanovili pravidlá spolupráce, výmeny informácií, dohľadu a presadzovania opatrení v oblasti kybernetickej bezpečnosti.

V smernici sa každému členskému štátu ukladá povinnosť prijať národnú stratégiu kybernetickej bezpečnosti, ktorá zahŕňa politiky v oblasti bezpečnosti dodávateľského reťazca, riadenia zraniteľnosti a vzdelávania a informovanosti v oblasti kybernetickej bezpečnosti. Členské štáty musia takisto vytvoriť a pravidelne aktualizovať zoznam prevádzkovateľov základných služieb a zabezpečiť, aby tieto subjekty spĺňali požiadavky smernice.

Okrem odvetví, na ktoré sa už vzťahuje smernica NIS 1 – energetika, doprava, zdravotná starostlivosť, financie, vodné hospodárstvo a digitálna infraštruktúra – sa nové pravidlá vzťahujú aj na poskytovateľov verejných elektronických komunikácií, viac digitálnych služieb (ako sú sociálne platformy), nakladanie s odpadom a odpadovými vodami, výrobu kritických výrobkov, poštové a kuriérske služby a verejnú správu na ústrednej aj regionálnej úrovni, ako aj vesmírny sektor. Stredné a veľké subjekty v týchto kritických odvetviach budú spravidla musieť prijať vhodné opatrenia na riadenie kybernetickobezpečnostných rizík a informovať príslušné vnútroštátne orgány o významných incidentoch. Ide o incidenty, ktoré by mohli spôsobiť značné narušenie alebo poškodenie.

Smernica obsahuje aj ustanovenia o dohľade, presadzovaní a dobrovoľných partnerských preskúmaniach s cieľom posilniť vzájomnú dôveru a spôsobilosti v oblasti kybernetickej bezpečnosti v celej EÚ. Zavádza sa ním aj zodpovednosť vrcholového manažmentu za nedodržiavanie opatrení na riadenie kybernetickobezpečnostných rizík, čím sa kybernetická bezpečnosť dostáva do pozornosti správnej rady.

Smernicou sa zriaďuje sieť jednotiek pre riešenie počítačových bezpečnostných incidentov (CSIRT) na výmenu informácií o kybernetických hrozbách a reakciu na incidenty. Tieto tímy sú kľúčové pre udržiavanie situačného povedomia a poskytovanie pomoci. S cieľom riadiť rozsiahle kybernetické incidenty alebo krízy sa smernicou vytvára Európska sieť styčných organizácií pre kybernetické krízy (EU-CyCLONe). Táto sieť podporuje koordinované riadenie a zabezpečuje pravidelnú výmenu informácií medzi členskými štátmi a inštitúciami EÚ v prípade rozsiahlych incidentov a kríz. 

Skupina pre spoluprácu v oblasti sieťovej a informačnej bezpečnosti je zároveň platformou zriadenou smernicou NIS na uľahčenie strategickej spolupráce a výmeny informácií medzi členskými štátmi EÚ, Európskou komisiou a Agentúrou EÚ pre kybernetickú bezpečnosť (ENISA). Skupina uverejňuje nezáväzné usmernenia a odporúčania na podporu vykonávania smernice NIS.

Súvislosti

Smernica NIS 1 (smernica 2016/1148) bola prvým komplexným právnym predpisom EÚ zameraným na zvýšenie kybernetickej bezpečnosti sietí a informačných systémov s cieľom zabezpečiť životne dôležité služby pre hospodárstvo a spoločnosť EÚ. V decembri 2020 Komisia navrhla revíziu smernice NIS 1, ktorej výsledkom bolo prijatie smernice NIS 2, ktorá nadobudla účinnosť v januári 2023. Členské štáty mali smernicu NIS2 transponovať do vnútroštátneho práva do 17. októbra 2024. Smernicou NIS 2 sa od 18. októbra 2024 zrušila smernica NIS 1.