Nová směrnice Evropského parlamentu a Rady (EU) 2022/2555, o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii („směrnice NIS 2“) nabyla 16. ledna 2023 účinnosti. Členské státy mají povinnost směrnici NIS 2 do svých právních řádů implementovat nejpozději do 17. října 2024.

Změny, které směrnice NIS 2 přináší, jsou natolik zásadní, že NÚKIB k tomuto úkolu přistoupil přípravou zcela nového zákona o kybernetické bezpečnosti a jeho vyhlášek.

Jde o první návrh ze strany NÚKIB zpracovaný krátce po oficiálním vydání směrnice NIS 2. Lze očekávat, že se návrhy předpisů budou měnit, ať již na základě připomínek veřejnosti, tak v rámci standardního legislativního procesu.

Regulovaný subjekt (“Poskytovatel regulované služby”)

Směrnice NIS 2 dopadne na více jak 6 000 soukromých i státních organizací na místo původních 400.

Primárním způsobem stanovení, jestli soukromá nebo veřejná organizace spadá pod regulaci směrnice NIS2, resp. budoucího nového zákona o kybernetické bezpečnosti, je současné splnění dvou kritérií:

Organizace poskytuje alespoň jednu službu uvedenou v přílohách směrnice (budoucí nové vyhlášky), a zároveň je středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK).

U některých vyjmenovaných služeb je však stanoveno, že pod regulaci směrnice NIS 2 spadnou bez ohledu na velikost (např. poskytovatelé služeb DNS).

Hlavní cíl regulace kybernetické bezpečnosti a odpovědnost vedoucích orgánů

Hlavním cílem přijetí směrnice NIS 2 je dosáhnout toho, aby důležité organizace zaváděly preventivní kroky k posílení své kybernetické bezpečnosti. Tento požadavek je reprezentovaný povinností zavádět tzv. bezpečnostní opatření.

Vedoucí orgány organizace nejenže budou muset přijatá bezpečnostní opatření schvalovat, ale ponesou za ně i odpovědnost. Za účelem získání dostatečných znalostí a dovedností v oblasti kybernetické bezpečnosti pak mají členové vedoucích orgánů organizace pravidelně absolvovat školení. 

Kdy a jak začít ?

S ohledem na stále rostoucí počet kyberbezpečnostních incidentů, zvyšující se náklady, které sebou nesou, a zároveň na účinnost nové směrnice NIS 2, se vyplatí kybernetickou bezpečností zabývat ihned.

V rámci přípravy na nový zákon o kybernetické bezpečnosti pak doporučujeme všem stávajícím i novým povinným subjektům provést komplexní audit kybernetické bezpečnosti, prostřednictvím kterého se zhodnotí stav organizace z hlediska technického, organizačního a právního, a dle výsledků auditu pak v návaznosti na směrnici NIS 2 přijmout cílená řešení.