Český překlad rozhodnutí evropské komise k posílení kybernetické bezpečnosti pomocí směrnice NIS2.
Council of the EU | Press release | 13 May 2022 06:37
Rada a Evropský parlament se dnes dohodly na opatřeních pro vysokou společnou úroveň kybernetické bezpečnosti v celé Unii, aby se dále zlepšila odolnost a schopnost reakce na incidenty jak veřejného a soukromého sektoru, tak EU jako celku.
Po přijetí nová směrnice nazvaná „NIS2“ nahradí stávající směrnici o bezpečnosti sítí a informačních systémů (směrnice NIS).
Silnější řízení rizik a incidentů a spolupráce
NIS2 stanoví základ pro opatření k řízení rizik v oblasti kybernetické bezpečnosti a povinnosti podávání zpráv ve všech odvětvích, na něž se směrnice vztahuje, jako je energetika, doprava, zdravotnictví a digitální infrastruktura.
Cílem revidované směrnice je odstranit rozdíly v požadavcích na kybernetickou bezpečnost a v provádění opatření v oblasti kybernetické bezpečnosti v různých členských státech. Za tímto účelem stanoví minimální pravidla pro regulační rámec a stanoví mechanismy pro účinnou spolupráci mezi příslušnými orgány v jednotlivých členských státech. Aktualizuje seznam odvětví a činností, na které se vztahují povinnosti v oblasti kybernetické bezpečnosti, a stanoví nápravná opatření a sankce k zajištění jejich prosazování.
Směrnice formálně zřizuje síť Evropské styčné organizace pro kybernetické krize, EU-CyCLONe, která bude podporovat koordinované řízení rozsáhlých kybernetických bezpečnostních incidentů.
Rozšíření působnosti pravidel
Zatímco podle staré směrnice o bezpečnosti sítí a informací byly členské státy odpovědné za určení subjektů, které splňují kritéria pro kvalifikaci jako provozovatelé základních služeb, nová směrnice o bezpečnosti sítí a informací zavádí pravidlo velikostního limitu. To znamená, že do oblasti působnosti směrnice budou spadat všechny střední a velké subjekty působící v odvětvích nebo poskytující služby, na které se směrnice vztahuje.
Dohoda mezi Evropským parlamentem a Radou toto obecné pravidlo zachovává, předběžně dohodnuté znění však obsahuje dodatečná ustanovení, která mají zajistit proporcionalitu, vyšší úroveň řízení rizik a jasná kritéria kritičnosti pro určení subjektů, na něž se vztahuje.
Text rovněž upřesňuje, že směrnice se nebude vztahovat na subjekty vykonávající činnosti v oblastech, jako je obrana nebo národní bezpečnost, veřejná bezpečnost, vymáhání práva a soudnictví. Z oblasti působnosti jsou rovněž vyloučeny parlamenty a centrální banky.
Vzhledem k tomu, že cílem kybernetických útoků jsou často i orgány veřejné správy, bude se NIS2 vztahovat na subjekty veřejné správy na ústřední a regionální úrovni. Kromě toho mohou členské státy rozhodnout, že se bude vztahovat i na tyto subjekty na místní úrovni.
Registrujte se zdarma na virtuální konferenci ke směrnici NIS2, na které se dozvíte, jak ji vyřešit v praxi a jaké dotační tituly lze využít pro zvýšení kyberbezpečnosti vaší organizace.
Další změny zavedené spoluzákonodárci
Evropský parlament a Rada sladily znění s odvětvovými právními předpisy, zejména s nařízením o digitální provozní odolnosti finančního sektoru (DORA) a směrnicí o odolnosti kritických subjektů (CER), aby zajistily právní jasnost a soudržnost mezi NIS2 a těmito akty.
Dobrovolný mechanismus vzájemného učení zvýší vzájemnou důvěru a učení se z osvědčených postupů a zkušeností, čímž přispěje k dosažení vysoké společné úrovně kybernetické bezpečnosti.
Oba spoluzákonodárci rovněž zefektivnili ohlašovací povinnosti, aby nedocházelo k nadměrnému ohlašování a vytváření nadměrné zátěže pro subjekty, na které se vztahuje.
Členské státy budou mít 21 měsíců od vstupu směrnice v platnost na to, aby její ustanovení začlenily do svého vnitrostátního práva.
Další kroky
Dnes uzavřená předběžná dohoda nyní podléhá schválení Radou a Evropským parlamentem.
Pokud jde o Radu, francouzské předsednictví hodlá dohodu brzy předložit ke schválení Výboru stálých zástupců Rady.
Odkazy a materiály ke stažení
- Draft directive on measures for a high common level of cybersecurity across the Union – provisional agreement text
- Draft directive on measures for a high common level of cybersecurity across the Union – Council general approach
- Cybersecurity: how the EU tackles cyber threats (background information)
- A digital future for Europe (background information)
- How the EU responds to crises and builds resilience (background information)
- Shaping Europe’s digital future – Cybersecurity policies (Commission information)