MAGAZÍN EGOVERNMENT 2/2022


SMĚRNICE NIS 2 A KYBERNETICKÁ BEZPEČNOST VE VEŘEJNÉ SPRÁVĚ

Počátek veřejnoprávní regulace kybernetické bezpečnosti v České republice lze datovat od 1. ledna 2015, tedy k datu účinnosti zákona č. 181/2014 Sb., o kybernetické bezpečnosti. Zákon od této doby prošel řadou změn, za tu doposud největší lze považovat novelizaci z roku 2017 vyvolanou přijetím směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii („směrnice NIS“). V současné době lze očekávat změnu srovnatelného, a možná i většího rozsahu v souvislosti s přijetím revize této směrnice, pro kterou je nyní používáno označení „NIS2“[1].

Předně je nutné poznamenat, že směrnice NIS2 v tuto chvíli nemá schválené finální znění – legislativní proces na úrovni Evropské unie doposud nebyl ukončen a finální znění směrnice nebylo publikováno. K publikaci směrnice NIS2 by mělo dojít na konci roku 2022. Do té doby je možné vycházet z doposud dostupné verze směrnice, která je nyní ve fázi posledních úprav před její publikací. K některým dílčím změnám tak může ještě stran textu směrnice NIS2 dojít a následující text tak čerpá z aktuálních dostupných informací. Ze současného znění směrnice NIS2 a nastavené transpoziční lhůty pak také plyne, že by se související změny měly promítnout do zákona o kybernetické bezpečnosti v polovině roku 2024.

NIS2 přináší zcela nový přístup ke stanovení povinných osob, které se jí musí v rámci členských států řídit. Pro srovnání, český zákon o kybernetické bezpečnosti byl a je postaven na dopadovém principu – povinnou osobou se stává jen organizace, která může v případě narušení bezpečnosti svých systémů způsobit společnosti nějakou předem definovanou škodu[2]. NIS2 tento přístup sice také používá, nicméně až jako doplňkový. Primárním principem stanovení povinných osob je kombinace poskytování dané služby (uvedené v přílohách) a velikosti organizace dle doporučení Komise[3]. Obecně tak, z důvodu této změny a rovněž rozšíření počtu odvětví a pod ně spadajících služeb z původních 7 odvětví s 30 službami na momentálně navrhovaných 18 odvětví s 60 službami, bude pod zákon o kybernetické bezpečnosti spadat minimálně patnáctinásobek současného počtu osob. Odhady hovoří nejméně o šesti tisících regulovaných subjektů.

Regulace veřejné správy zůstávala doposud na zvážení samotných členských států a nepatřila mezi povinně regulovaná odvětví, nyní je však v rámci přílohy směrnice NIS2 zařazena a k její regulaci tak bezpochyby dojde. Vzhledem k obsahu se směrnice NIS2 bude bezpodmínečně týkat ústředních orgánů státní správy a regionálních orgánů veřejné správy. S přihlédnutím k tomu, že je žádoucí určitým způsobem zachovávat kontinuitu, lze očekávat, že majoritní část veřejné správy spadající již nyní pod zákon o kybernetické bezpečnosti bude regulována i po transpozici směrnice NIS2. Dále se pak úvahy o budoucí podobě zákona o kybernetické bezpečnosti ubírají směrem k zahrnutí obcí s rozšířenou působností mezi povinné osoby, konkrétně pak v režimu nižších povinností. Objem služeb, které tyto obce zajišťují pro občany, se v souvislosti s nedávnými incidenty ukázal jako rozsáhlý a předznamenal tak potřebu akcentace kybernetické bezpečnosti těchto organizací.

Samotná směrnice NIS2 požaduje roztřídit povinné subjekty do dvou skupin (essential a important) a v rámci této distinkce příslušně určit míru povinností, které budou povinné osoby muset plnit. V současné době je počítáno s tím, že režimy označíme jako režim vyšších povinností (essential) a režim nižších povinností (important).

Tato distinkce se tak musí projevit zejména v rámci bezpečnostních opatření, kde je v současné době počítáno s tím, že pro režim vyšších povinností bude aplikována novelizovaná verze vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti, pro režim nižších povinností pak vzniká vyhláška nová, která povinnosti stanovuje na základnější úrovni, tedy je spíše blíže např. minimálnímu bezpečnostnímu standardu, který Národní úřad pro kybernetickou a informační bezpečnost („NÚKIB“) v minulosti vydal.[4]

Vzhledem k markantnímu nárůstu počtu povinných subjektů bude muset dojít i k dalším úpravám v rámci procesu identifikace povinných osob (nově bude primárně ovládána principem sebeidentifikace dle kritérií daných příslušným prováděcím předpisem) a v rámci další komunikace s NÚKIB (elektronizace procesu). Připravuje se tak jednotný informační systém, který by měl zaštítit jak registraci povinných osob, tak následnou komunikaci s NÚKIB, např. ve formě hlášení incidentů.

Návrh směrnice klade také velký důraz na roli vrcholového vedení organizace. To by se mělo mnohem více zapojovat do řešení problematiky kybernetické bezpečnosti, protože jak se v praxi stále ještě ukazuje, vedení organizací považuje kybernetickou bezpečnost za dílčí problém, vhodný k řešení nejlépe na úrovni vedoucího IT oddělení. Z tohoto domnění je může přinejhorším vyvést jedno z nových ustanovení, které v případě povinných osob v tzv. režimu vyšších povinností zavádí jako krajní možnost  uložit i dočasný zákaz výkonu manažerských funkcí příslušné fyzické osobě. Dalším možným postihem je i pozastavení licence pro poskytování dané služby pro celou organizaci.

Poslední velkou změnou je změna přístupu k ukládání pokut za porušení zákona. Návrh směrnice se ve věci pokut inspiroval v Obecném nařízení o ochraně osobních údajů (tj. GDPR). Pokuty jsou tak nově stanoveny na 10 000 000 EUR nebo 2 % celkového celosvětového ročního obratu organizace v případě režimu vyšších povinností, resp. na 7 000 000 EUR a 1,4 % v případě režimu nižších povinností.

Na závěr lze pro bližší informace odkázat na web provozovaný NÚKIB (nis2.nukib.cz), který má za cíl informovat o směrnici NIS2 blíže a k výše uvedeným, ale i dalším tématům zde naleznete další užitečné informace[5].

 

Daniela Procházková

vedoucí oddělení Oddělení regulace veřejného sektoru

Národní úřad pro kybernetickou a informační bezpečnost


[1] Současná podoba návrhu směrnice NIS2 je dostupná zde: https://osveta.nukib.cz/pluginfile.php/58363/course/section/1231/NIS2_aktu%C3%A1ln%C3%AD_zn%C4%9Bn%C3%AD.pdf

[2] Srov. prováděcí právní předpisy sloužící ke stanovení povinných osob podle zákona o kybernetické bezpečnosti – nařízení vlády č. 432/2010 Sb., vyhlášku č. 437/2017 Sb. nebo vyhlášku č. 317/2014 Sb.

[3] Doporučení Komise ze dne 6. května 2003, týkající se definice mikropodniků, malých a středních podniků, dostupné zde: https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=celex%3A32003H0361

[4] Dostupné zde: https://www.nukib.cz/download/publikace/podpurne_materialy/2020-07-17_Minimalni-bezpecnostni-standard_v1.0.pdf

[5] Dostupné zde: https://osveta.nukib.cz/course/view.php?id=145

 

EG - 2/2022

inPage - webové stránky s AI, doménawebhosting