Směrnice NIS2 o kybernetické bezpečnosti a její transpozice do právního řádu České republiky

Směrnice NIS2 o kybernetické bezpečnosti by do právního řádu České republiky měla být transponována v transpoziční lhůtě do 18. října 2024, už nyní však víme, že tento termín nebude dodržen. Vláda schválila návrh nového zákona o kybernetické bezpečnosti dne 17. července 2024, kdy tímto zákonem by mělo dojít k transpozici směrnice NIS2. V současné době je novela projednávána parlamentem ČR a její první čtení v Poslanecké sněmovně PČR proběhlo 17.září 2024, proto připravované právní regulace kybernetické bezpečnost budou účinné nejdříve k 1. lednu 2025.

Směrnice NIS 2

Směrnice NIS 2 neboli Network and Information System Directive 2 (dále jen „směrnice) byla přijata Evropským parlamentem dne 14. prosince 2022 a je zaměřená na zlepšení kybernetické bezpečnosti a odolnosti informačních a komunikačních technologií (dále jen „ICT“) v rámci EU. Za hlavní cíl si Směrnice klade posílení ochrany sítí a informačních systémů, které jsou kritické pro hospodářství a společnost jako celek, včetně sektorů jako energetika, doprava, finance, zdravotnictví a další.

Směrnice přináší zvýšené požadavky na bezpečnost a odolnost ICT systémů v kritických sektorech a v podnicích poskytujících digitální služby, dále požadavky na posílení spolupráce mezi členskými státy a orgány EU při řešení kybernetických hrozeb a incidentů a zřízení certifikačních mechanismů pro hodnocení a ověřování bezpečnosti ICT produktů a služeb.

Novela zákona o kybernetické bezpečnosti

Návrh zákona o kybernetické bezpečnosti předložil prostřednictvím premiéra Petra Fialy ředitel Národního úřadu pro kybernetickou a informační bezpečnost Lukáš Kintr. Vláda předložený návrh nového zákona schválila se změnou, kdy tato změna se týká mechanismu prověřování bezpečnosti dodavatelského řetězce. Zavedení tohoto mechanismu by mělo přispět k zajištění dlouhodobě udržitelné bezpečnosti zvýšením odolnosti osob a institucí, jež jsou nezbytné pro naplňování základních funkcí státu.

Cílem novely je zabezpečení všech poskytovatelů služeb důležitých pro fungování společnosti. Dotčené služby by měly být následně upřesněny vyhláškou Národního úřadu pro kybernetickou a informační bezpečnost v regulovaných službách.

Pro stanovení, zda organizace spadá pod regulaci Směrnice, a tím pádem i Novely, je potřeba současné splnění následujících dvou kritérií:

• organizace poskytuje alespoň jednu službu uvedenou v přílohách vyhlášky a zároveň
• je středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu či bilanční sumy roční rozvahy alespoň 10 milionů EUR (cca 250.000.000, – Kč).

Uvedené regulace by měly docílit toho, aby organizace zaváděly preventivní kroky k posílení své kybernetické bezpečnosti a tím, aby došlo k celkovému lepšímu zajištění proti kybernetickým hrozbám. Další novou povinností pro poskytovatele bude hlášení a zvládání kybernetických bezpečnostních incidentů. 

Motivací pro dodržování právní úpravy jsou vysoké sankce, kdy pokuta za porušení kybernetické bezpečnosti může dosáhnout až 10.000.000 EUR nebo 2 % z čistého obratu.