Legislativa kybernetické bezpečnosti se bude od roku 2024 týkat nejméně 6000 subjektů v ČR
Kybernetická opatření realizována společnostmi a subjekty infrastruktury nejsou přijata pouze na základě dobrovolnosti, ale jsou také vyžadována legislativou a jejich dodržování je kontrolováno. V České republice je tato pravomoc udělena Národnímu úřadu pro kybernetickou a informační bezpečnost – NÚKIB, který je v této oblasti ústředním správním orgánem.
V tomto článku bychom chtěli informovat naše klienty a veřejnost o chystané změně legislativy, jež bude rozšiřovat dotčené subjekty spadající pod působnost zákona o kybernetické bezpečnosti č. 181/2014 Sb. Tento zákon momentálně reflektuje směrnici Evropského parlamentu č. 2016/1148 o bezpečnosti sítí a informací známou také pod zkratkou NIS (z angl. Network Information Security). Cílem této směrnice bylo stanovit základní požadavky společné pro všechny členské státy v oblasti kybernetické bezpečnosti.
Dne 27. prosince 2022 byla Evropským parlamentem přijata nová směrnice NIS2, která mnohé mění. Jednotlivé státy Evropské unie mají 21 měsíců na to, aby směrnici zapracovali do národní legislativy. K novelizací zákona o kybernetické bezpečnosti by mělo tedy dojít nejpozději do října 2024.
Stávající rozsah působnosti
Úvodem lze říci, že dosavadní právní povinnost implementovat kybernetická opatření se vztahovala pouze na velice omezený počet subjektů, které byly pro fungování státu kritické a v rámci svého sektoru i ojedinělé, ať už svojí velikostí nebo rozsahem poskytovaných služeb. Aktuálně se jedná o nízké stovky subjektů napříč celou ČR rozdělených do dvou kategorií.
O zařazení mezi provozovatele základních služeb rozhoduje počet osob závislých na dané službě, dopad incidentů na ekonomiku státu, vliv na veřejnou bezpečnost, podíl daného subjektu na trhu apod. To vše v oblasti energetiky, dopravy, bankovnictví, infrastruktury finančních trhů, zdravotnictví, vodního hospodářství, digitální infrastruktury a chemického průmyslu. Konkrétní kritéria pro určení provozovatele základní služby jsou stanovena vyhláškou.
Výše zmíněné subjekty doplňují poskytovatelé digitálních služeb jako jsou online tržiště, internetové vyhledávače a služby cloud computingu. Zákon se nevztahuje na poskytovatele digitální služby s počtem zaměstnanců méně než 50 a ročním obratem pod 10 000 000 EUR, nebo který má sídlo v jiném členském státě.
Změny související se zavedením NIS2
Mezi nejdůležitější změny související s přijetím směrnice NIS 2 zcela jistě patří přijetí národní strategie kybernetické bezpečnosti, sdílení informací o zranitelnostech, hlubší spolupráce, sjednocení metodiky napříč státy EU, a hlavně rozšíření dotčených subjektů – tzv. povinných osob. To je způsobeno jak rozšířením regulovaných odvětví a služeb tak i změnou kritérií pro zařazení.
O tom, zda subjekt bude spadat nově pod regulaci směrnice je rozhodující naplnění současně dvou kritérií
- organizace poskytuje alespoň jednu službu uvedenou v přílohách směrnice1 NIS2
- je středním nebo velkým podnikem – zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů EUR2
Tato dvě kritéria nejsou však jediným rozhodujícím faktorem o zařazení. Bude existovat i skupina povinných osob, které budu zařazeny bez ohledu na velikost. Jedná se např. o poskytovatele DNS služeb nebo elektronických komunikací.
Do doby novelizace zákona o kybernetické bezpečnosti nelze se 100% jistotou říci na koho se bude nová regulace vztahovat. Každý ze členských státu má např. možnost přijmout opatření zajišťující vyšší úroveň kybernetické bezpečnosti. Bude tak záležet na výsledku legislativního procesu. I přesto NÚKIB vypracoval grafické znázornění reprezentující obsah obou příloh směrnice NIS2.
Co čeká subjekty zařazené do režimu povinných osob?
Směrnice počítá s rozdělením povinných osob dle míry rizika do dvou kategorií. Základní subjekty (essential entity) jsou ty, které je potřeba v rámci regulace nejvíce chránit. Budou se tak na ně vztahovat přísnější požadavky. Druhou kategorií budou pak Důležité subjekty (important entity)
Dobré je zmínit, že pro již zařazené subjekty spadající pod regulaci směrnice NIS1 se toho v praxi příliš měnit nebude. Bez ohledu na zařazení by však měly regulované subjekty počítat s následujícími povinnostmi týkající se:
- Analýzy rizik
- Hlášení incidentů
- Kontinuity provozu (zálohování, obnova provozu po havárii)
- Bezpečnosti dodavatelského řetězce
- Vzdělávání v oblasti kybernetické bezpečnosti
- Kryptografie a šifrování
- Vícefaktorové autentizace a další…
Resumé
Schválení nové směrnice NIS2 budí mezi dotčenými subjekty stejný rozruch jako před několika lety GDPR. Již dnes jsou k dispozici hezky zpracované webové stránky zřízené odborem regulace NÚKIB, které uceleně a přehledně vysvětlují očekáváné změny. Tématika je členěna logicky do 10 kapitol s možností stáhnout dokumenty s grafickým vysvětlením. V souvislosti s touto změnou očekáváme zvýšený zájem o tuto problematiku a v neposlední řadě také pojištění.
1) Směrnice EVROPSKÉHO PARLAMENTU A RADY (EU) č. 2022/2555 - Jedná se o stávající služby rozšířené např. o odvětví odpadních vod, poštovní a kurýrní služby a veřejnou správu. Celkově se jedná o 60 služeb roztříděných do 18 odvětví.
2) Při posuzování velikosti podniku se bude zohledňovat, zda je subjekt součástí většího koncernu. I menší podniky tak mohou spadat pod regulaci směrnice.
Zdroj:
- Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148
- https://osveta.nukib.cz/course/view.php?id=145
- https://osveta.nukib.cz/pluginfile.php/58365/mod_page/content/316/Priloha-1_Graficke-znazorneni-bez-nazvu_logo_v1.0.pdf