Navazuje na své předchůdce a zároveň rozšiřuje počet povinných subjektů, jakož i rozsah povinností. Nová směrnice Evropského parlamentu a Rady (EU) 2022/2555, o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (směrnice NIS 2) nabyla 16. ledna 2023 účinnosti.
Nabytím účinnosti směrnice vznikla povinnost členským státům směrnic NIS 2 implementovat do svého právního řádu. Členské státy musí tuto povinnost splnit nejpozději do 17. října 2024.
Návrh zcela nového zákona o kybernetické bezpečnosti
Změny, které směrnice NIS 2 přináší jsou natolik zásadní, že NÚKIB k tomuto úkolu přistoupil přípravou zcela nového zákona o kybernetické bezpečnosti a jeho vyhlášek, které předložil veřejnosti k připomínkám a diskuzi.
Jde o první návrh ze strany NÚKIB zpracovaný krátce po oficiálním vydání směrnice NIS 2. Lze očekávat, že se návrhy předpisů budou měnit, ať již na základě připomínek veřejnosti, tak v rámci standardního legislativního procesu.
Stěžejní změny v regulaci
Rozšíření počtu povinných osob
odhady hovoří nejméně o 6 000 soukromých i státních organizací, a to jednak rozšířením regulovaných odvětví (např. odvětví odpadového hospodářství), dále rozšířením stávajících regulovaných odvětví o nové regulované služby (např. stávající odvětví digitální infrastruktury o nové regulované služby cloud computingu), a nebo změnou způsobu identifikace povinných osob (kdy primárním kritériem pro zařazení do regulace bude velikost organizace).
Povinné vzdělávání vrcholového vedení a větší odpovědnost managementu za zajišťování kybernetické bezpečnosti
opatření v rámci kybernetické bezpečnosti budou schvalovat především statutární orgány. Ty také budou povinny dohlížet na jejich uplatňování a ponesou odpovědnost za neplnění povinností dotčeného povinného subjektu. Za účelem získání dostatečných znalostí a dovedností v oblasti kybernetické bezpečnosti mají členové vedoucího orgánu pravidelně absolvovat školení.
Regulovaný subjekt (“Poskytovatel regulované služby”)
Primárním způsobem stanovení, jestli soukromý nebo veřejný subjekt spadá pod regulaci směrnice NIS2, resp. nového zákona o kybernetické bezpečnosti, je (až na výjimky jako např. datová centra) současné splnění dvou kritérií:
Organizace poskytuje alespoň jednu službu uvedenou v přílohách směrnice, a
zároveň je středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK).
Hlavní cíl regulace kybernetické bezpečnosti
Hlavním cílem přijetí směrnice NIS 2 je dosáhnout toho, aby důležité subjekty zaváděly preventivní kroky k posílení své kybernetické bezpečnosti. Tento požadavek je reprezentovaný povinností zavádět tzv. bezpečnostní opatření (např. implementací nebo aktualizací ISMS nebo SOC).
Směrnice NIS 2 pracuje s dvěma režimy povinných osob - “important” a “essential”, čemuž korespondují dva režimy povinností dle návrhu nového zákona o kybernetické bezpečnosti a sice režim nižších povinností dopadající na osoby v režimu “important” a režim vyšších povinností dopadající na osoby v režimu “essential”. Z těchto dvou režimů pak vyplývá okruh organizačních, právních a technických bezpečnostních opatření, které budou muset povinné osoby zavést a dodržovat.