NIS2 pro posílení kybernetické bezpečnosti a odolnosti v celé EU – dohoda Rady a Evropského parlamentu

Český překlad rozhodnutí evropské komise k posílení kybernetické bezpečnosti pomocí směrnice NIS2.

Council of the EU | Press release | 13 May 2022 06:37

Rada a Evropský parlament se dnes dohodly na opatřeních pro vysokou společnou úroveň kybernetické bezpečnosti v celé Unii, aby se dále zlepšila odolnost a schopnost reakce na incidenty jak veřejného a soukromého sektoru, tak EU jako celku.

Po přijetí nová směrnice nazvaná „NIS2“ nahradí stávající směrnici o bezpečnosti sítí a informačních systémů (směrnice NIS).

Silnější řízení rizik a incidentů a spolupráce

NIS2 stanoví základ pro opatření k řízení rizik v oblasti kybernetické bezpečnosti a povinnosti podávání zpráv ve všech odvětvích, na něž se směrnice vztahuje, jako je energetika, doprava, zdravotnictví a digitální infrastruktura.

Cílem revidované směrnice je odstranit rozdíly v požadavcích na kybernetickou bezpečnost a v provádění opatření v oblasti kybernetické bezpečnosti v různých členských státech. Za tímto účelem stanoví minimální pravidla pro regulační rámec a stanoví mechanismy pro účinnou spolupráci mezi příslušnými orgány v jednotlivých členských státech. Aktualizuje seznam odvětví a činností, na které se vztahují povinnosti v oblasti kybernetické bezpečnosti, a stanoví nápravná opatření a sankce k zajištění jejich prosazování.

Směrnice formálně zřizuje síť Evropské styčné organizace pro kybernetické krize, EU-CyCLONe, která bude podporovat koordinované řízení rozsáhlých kybernetických bezpečnostních incidentů.

Rozšíření působnosti pravidel

Zatímco podle staré směrnice o bezpečnosti sítí a informací byly členské státy odpovědné za určení subjektů, které splňují kritéria pro kvalifikaci jako provozovatelé základních služeb, nová směrnice o bezpečnosti sítí a informací zavádí pravidlo velikostního limitu. To znamená, že do oblasti působnosti směrnice budou spadat všechny střední a velké subjekty působící v odvětvích nebo poskytující služby, na které se směrnice vztahuje.

Dohoda mezi Evropským parlamentem a Radou toto obecné pravidlo zachovává, předběžně dohodnuté znění však obsahuje dodatečná ustanovení, která mají zajistit proporcionalitu, vyšší úroveň řízení rizik a jasná kritéria kritičnosti pro určení subjektů, na něž se vztahuje.

Text rovněž upřesňuje, že směrnice se nebude vztahovat na subjekty vykonávající činnosti v oblastech, jako je obrana nebo národní bezpečnost, veřejná bezpečnost, vymáhání práva a soudnictví. Z oblasti působnosti jsou rovněž vyloučeny parlamenty a centrální banky.

Vzhledem k tomu, že cílem kybernetických útoků jsou často i orgány veřejné správy, bude se NIS2 vztahovat na subjekty veřejné správy na ústřední a regionální úrovni. Kromě toho mohou členské státy rozhodnout, že se bude vztahovat i na tyto subjekty na místní úrovni.

Další změny zavedené spoluzákonodárci

Evropský parlament a Rada sladily znění s odvětvovými právními předpisy, zejména s nařízením o digitální provozní odolnosti finančního sektoru (DORA) a směrnicí o odolnosti kritických subjektů (CER), aby zajistily právní jasnost a soudržnost mezi NIS2 a těmito akty.

Dobrovolný mechanismus vzájemného učení zvýší vzájemnou důvěru a učení se z osvědčených postupů a zkušeností, čímž přispěje k dosažení vysoké společné úrovně kybernetické bezpečnosti.

Oba spoluzákonodárci rovněž zefektivnili ohlašovací povinnosti, aby nedocházelo k nadměrnému ohlašování a vytváření nadměrné zátěže pro subjekty, na které se vztahuje.

Členské státy budou mít 21 měsíců od vstupu směrnice v platnost na to, aby její ustanovení začlenily do svého vnitrostátního práva.

Další kroky

Dnes uzavřená předběžná dohoda nyní podléhá schválení Radou a Evropským parlamentem.

Pokud jde o Radu, francouzské předsednictví hodlá dohodu brzy předložit ke schválení Výboru stálých zástupců Rady.