Rada dne 28. listopadu 2022 přijala právní předpis k zajištění vysoké společné úrovně kybernetické bezpečnosti v celé Unii, jehož cílem je dále zlepšit odolnost veřejného i soukromého sektoru i EU jako celku a jejich schopnost reagovat na incidenty.
Nová směrnice, označovaná jako „NIS 2“, nahradí stávající pravidla pro bezpečnost sítí a informačních systémů (směrnice o bezpečnosti sítí a informací).
Důslednější řízení rizik a incidentů a spolupráce
Směrnice NIS 2 stanoví základ pro opatření k řízení kybernetických bezpečnostních rizik a povinnosti hlášení pro všechna odvětví, na něž se směrnice vztahuje, jako je energetika, doprava, zdravotnictví a digitální infrastruktura.
Cílem revidované směrnice je harmonizovat požadavky na kybernetickou bezpečnost a provádění opatření v oblasti kybernetické bezpečnosti v různých členských státech. Za tímto účelem stanoví minimální pravidla týkající se regulačního rámce a mechanismy účinné spolupráce mezi příslušnými orgány v každém členském státě. Aktualizuje seznam odvětví a činností, na něž se vztahují povinnosti v oblasti kybernetické bezpečnosti, a stanoví nápravná opatření a sankce k zajištění prosazování.
Na základě směrnice bude formálně zřízena Evropská síť styčných organizací pro řešení kybernetických krizí (EU-CyCLONe), která bude podporovat koordinované řízení rozsáhlých kybernetických bezpečnostních incidentů a krizí.
Širší oblast působnosti pravidel
Zatímco podle staré směrnice o bezpečnosti sítí a informací byly členské státy odpovědné za určení toho, které subjekty splňují kritéria pro zařazení mezi provozovatele základních služeb, nová směrnice o bezpečnosti sítí a informací zavádí jako obecné pravidlo pro určení regulovaných subjektů pravidlo velikostního omezení. To znamená, že do oblasti působnosti směrnice budou spadat všechny střední a velké subjekty působící v odvětvích nebo poskytující služby, na něž se směrnice vztahuje.
Revidovaná směrnice toto obecné pravidlo zachovává, zároveň však její znění obsahuje další ustanovení, která mají zajistit proporcionalitu, vyšší úroveň řízení rizik a jasná kritéria kritičnosti umožňující vnitrostátním orgánům určit další subjekty, na něž se směrnice vztahuje.
Znění rovněž objasňuje, že se směrnice nebude vztahovat na subjekty vykonávající činnosti v oblastech, jako je obrana nebo národní bezpečnost, veřejná bezpečnost a prosazování práva. Z oblasti působnosti jsou rovněž vyloučeny soudní orgány, parlamenty a centrální banky.
NIS 2 se bude vztahovat i na orgány veřejné správy na ústřední a regionální úrovni. Členské státy mohou navíc rozhodnout, že se směrnice vztahuje i na dotčené subjekty na místní úrovni.
Nová směrnice byla dále uvedena do souladu s odvětvovými právními předpisy, zejména s nařízením o digitální provozní odolnosti finančního sektoru (DORA) a se směrnicí o odolnosti kritických subjektů (CER), s cílem zajistit právní jasnost a soudržnost mezi NIS 2 a těmito akty.
Dobrovolný mechanismus vzájemného učení zvýší vzájemnou důvěru a povede k poučení se z osvědčených postupů a zkušeností v Unii, čímž přispěje k dosažení vysoké společné úrovně kybernetické bezpečnosti.
Nový právní předpis také zjednodušuje povinnosti hlášení, aby nebyla podávána příliš často, a nevznikla tak nadměrná zátěž pro dotčené subjekty.
Směrnice bude v nadcházejících dnech vyhlášena v Úředním věstníku Evropské unie a vstoupí v platnost dvacátým dnem po tomto vyhlášení.
Po vstupu této směrnice v platnost budou mít členské státy 21 měsíců na to, aby její ustanovení začlenily do svých vnitrostátních právních předpisů.
Zdroj: europa.eu
