Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Summaries of EU Legislation

    Kybernetická bezpečnosť sietí a informačných systémov (2022)

     

    ZHRNUTIE K DOKUMENTU:

    Smernica (EÚ) 2022/2555 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v celej EÚ

    AKÝ JE CIEĽ TEJTO SMERNICE?

    V smernici, známej ako NIS2, sa stanovuje spoločný regulačný rámec pre kybernetickú bezpečnosť s cieľom zlepšiť úroveň kybernetickej bezpečnosti v Európskej únii (EÚ), v ktorom sa od členských štátov EÚ vyžaduje posilnenie spôsobilostí v oblasti kybernetickej bezpečnosti, zavedenie opatrení na riadenie kybernetickej bezpečnosti a podávanie správ v kritických odvetviach spolu s pravidlami spolupráce, výmeny informácií, dohľadu a presadzovania práva.

    HLAVNÉ BODY

    Kybernetická bezpečnosť odkazuje na činnosti potrebné na ochranu sietí a informačných systémov, používateľov takýchto systémov a iných osôb dotknutých kybernetickými hrozbami.

    Kritické odvetvia

    Smernica sa uplatňuje hlavne na stredne veľké a veľké subjekty pôsobiace v týchto odvetviach s vysokou úrovňou kritickosti, ktoré sú vymedzené v prílohe I:

    • energetika:
      • elektrická energia vrátane výrobných, distribučných a prenosových sústav a nabíjacích bodov,
      • diaľkové vykurovanie a chladenie,
      • ropa vrátane ťažby, skladovania a prepravných potrubí,
      • plyn vrátane dodávok, distribučných a prepravných sietí a uskladnenia a
      • vodík,
    • doprava leteckou, železničnou, vodnou a cestnou dopravou,
    • bankovníctvo a infraštruktúra finančných trhov, ako sú úverové inštitúcie, prevádzkovatelia obchodných miest a centrálne protistrany,
    • zdravotníctvo vrátane poskytovateľov zdravotnej starostlivosti, výrobcov základných farmaceutických výrobkov a kritických zdravotníckych pomôcok a referenčných laboratórií EÚ,
    • pitná voda,
    • odpadová voda,
    • digitálna infraštruktúra vrátane poskytovateľov služieb dátového centra, služieb cloud computingu, verejných elektronických komunikačných sietí a verejne dostupných elektronických komunikačných služieb,
    • riadenie služieb IKT (medzi podnikmi),
    • vesmír,
    • verejná správa na ústrednej a regionálnej úrovni s výnimkou súdnictva, parlamentov a centrálnych bánk, hoci sa nevzťahuje na subjekty verejnej správy, ktoré vykonávajú činnosti v oblasti národnej bezpečnosti, verejnej bezpečnosti, obrany alebo presadzovania práva.

    Vzťahuje sa aj na iné kritické sektory, ako sú vymedzené v prílohe II:

    • poštové a kuriérske služby,
    • odpadové hospodárstvo,
    • výroba a distribúcia chemických látok,
    • výroba, spracovanie a distribúcia potravín,
    • výroba najmä zdravotníckych pomôcok, počítačových, elektronických a optických výrobkov, určitých druhov elektrických zariadení a strojov, motorových vozidiel a iných dopravných prostriedkov,
    • poskytovatelia digitálnych služieb online trhov, vyhľadávačov a sociálnych sietí a
    • výskumné organizácie.

    Národná stratégia v oblasti kybernetickej bezpečnosti

    Každý členský štát musí prijať národnú stratégiu na dosiahnutie a zachovanie vysokej úrovne kybernetickej bezpečnosti v kritických odvetviach vrátane:

    • rámec riadenia na objasnenie úloh a povinností relevantných zainteresovaných strán na vnútroštátnej úrovni,
    • politiky na riešenie bezpečnosti dodávateľských reťazcov,
    • politiky na riadenie zraniteľností,
    • politiky v oblasti podpory a rozvoja vzdelávania a odbornej prípravy v oblasti kybernetickej bezpečnosti a
    • opatrenia na zlepšenie informovanosti občanov o kybernetickej bezpečnosti.

    Členské štáty musia do 17. apríla 2025 zostaviť zoznam kľúčových a dôležitých subjektov, ako aj subjektov poskytujúcich služby registrácie názvov domén. Pravidelne a potom najmenej každé dva roky musia tento zoznam preskúmať a prípadne aktualizovať. Európska komisia prijala usmernenia týkajúce sa informácií, ktoré treba zhromažďovať pri vypracúvaní týchto zoznamov, ako aj príslušný vzor.

    Komisia tiež vydala usmernenia, v ktorých objasnila pravidlá týkajúce sa vzťahu medzi smernicou (EÚ) 2022/2555 a súčasnými a budúcimi odvetvovými právnymi aktmi týkajúcimi sa opatrení na riadenie kybernetických rizík alebo požiadaviek na oznamovanie incidentov. V prílohe k usmerneniam je uvedený neúplný zoznam odvetvových právnych aktov, ktoré podľa Komisie patria do rozsahu pôsobnosti smernice (EÚ) 2022/2555.

    Jednotky pre riešenie počítačových bezpečnostných incidentov

    Jednotky pre riešenie počítačových bezpečnostných incidentov (jednotky CSIRT) poskytujú subjektom technickú pomoc subjektom, a to aj formou:

    • monitorovania a analyzovania kybernetických hrozieb, zraniteľností a incidentov na vnútroštátnej úrovni,
    • zasielania včasných varovaní, výstrah, oznámení a informácií dôležitým subjektom a ďalším zainteresovaným stranám o kybernetických hrozbách, zraniteľnostiach a incidentoch, pokiaľ možno v takmer reálnom čase,
    • reagovania na incidenty a poskytovania pomoci podľa potreby,
    • zhromažďovania a analyzovania forenzných údajov a poskytovania dynamickej analýzy rizík a incidentov a informácie o situácii v kybernetickej bezpečnosti a
    • umožnenia aktívneho skenovania siete a informačných systémov s cieľom odhaľovať zraniteľnosti s potenciálne významným dosahom na základe žiadosti.

    Sieť jednotiek CSIRT

    Smernicou sa zriaďuje sieť národných jednotiek CSIRT na podporu rýchlej a účinnej operačnej spolupráce.

    Koordinované zverejňovanie zraniteľností

    Členské štáty musia:

    • určiť jednu zo svojich jednotiek CSIRT na účely koordinácie zverejňovania zraniteľností zistených vo výrobkoch alebo v službách IKT a
    • zabezpečiť, aby osoby v členských štátoch mohli na požiadanie nahlásiť zraniteľnosti anonymne.

    Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA) vypracuje a bude viesť databázu zraniteľností.

    Skupina pre spoluprácu

    V smernici sa zriaďuje skupina pre spoluprácu na podporu a uľahčenie strategickej spolupráce a výmeny informácií. Tvoria ju zástupcovia členských štátov, Komisie a agentúry ENISA. V prípade potreby môže skupina pre spoluprácu vyzvať Európsky parlament a zástupcov príslušných zainteresovaných strán, aby sa zúčastnili na jej práci.

    Európska sieť styčných organizácií pre kybernetické krízy

    Európska sieť styčných organizácií pre kybernetické krízy (EU-CyCLONe) je sieť, ktorá sa skladá zo zástupcov orgánov členských štátov pre riadenie kybernetických kríz a v prípadoch, keď potenciálny alebo prebiehajúci rozsiahly kybernetický incident má alebo pravdepodobne bude mať významný vplyv na odvetvia patriace do rozsahu pôsobnosti tejto smernice, aj zástupcovia Komisie. Vo všetkých ostatných prípadoch sa Komisia zúčastní na činnostiach siete ako pozorovateľ.

    Sieť podporuje koordinované riadenie rozsiahlych kybernetických bezpečnostných incidentov a kríz na operačnej úrovni a zabezpečuje pravidelnú výmenu informácií medzi členskými štátmi a inštitúciami, orgánmi a agentúrami EÚ.

    Sieť má okrem iných tieto úlohy:

    • koordinovať riadenie rozsiahlych kybernetických bezpečnostných incidentov a kríz a podporovať rozhodovanie na politickej úrovni,
    • zvyšovať pripravenosť,
    • rozvíjať spoločné situačné povedomie a
    • posudzovať dôsledky a vplyvy rozsiahlych kybernetických bezpečnostných incidentov a kríz a navrhovať možné zmierňujúce opatrenia.

    Podávanie správ

    Subjekty musia oznámiť svojej jednotke CSIRT alebo príslušnému orgánu akýkoľvek incident, ktorý:

    • môže spôsobiť alebo má schopnosť spôsobiť subjektu závažné prevádzkové narušenie alebo finančné straty,
    • zasiahol alebo má schopnosť zasiahnuť iných tým, že im spôsobí značnú majetkovú alebo nemajetkovú ujmu.

    Agentúra ENISA bude navyše v spolupráci s Komisiou a skupinou spolupráce predkladať každé dva roky správu o stave kybernetickej bezpečnosti v EÚ, ktorá bude predložená aj Parlamentu.

    Dohľad a presadzovanie práva

    V smernici sa stanovujú nápravné opatrenia a sankcie na zabezpečenie presadzovania práva.

    Partnerské preskúmania

    Partnerské preskúmania sa vytvárajú s cieľom čerpať zo spoločných skúseností, posilniť vzájomnú dôveru, dosiahnuť vysokú spoločnú úroveň kybernetickej bezpečnosti, ako aj posilniť spôsobilosti kybernetickej bezpečnosti a politiky členských štátov potrebné na vykonávanie tejto smernice. Tieto preskúmania zahŕňajú osobné alebo virtuálne návštevy na mieste a výmenu informácií na diaľku. Účasť na partnerských preskúmaniach je dobrovoľná.

    ODKEDY SA PRAVIDLÁ UPLATŇUJÚ?

    Smernica má byť transponovaná do vnútroštátnych právnych predpisov do 17. októbra 2024. Jej pravidlá sa majú uplatňovať od 18. októbra 2024.

    KONTEXT

    Smernicou sa od 18. októbra 2024 ruší smernica (EÚ) 2016/1148 (pozri súhrn).

    Ďalšie informácie:

    HLAVNÝ DOKUMENT

    Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) (Ú. v. EÚ L 333, 27.12.2022, s. 80 – 152).

    Následné zmeny smernice (EÚ) 2022/2555 boli zapracované do pôvodného dokumentu. Toto konsolidované znenie slúži len na dokumentačné účely.

    SÚVISIACE DOKUMENTY

    Oznámenie Komisie – Usmernenia Komisie k uplatňovaniu článku 3 ods. 4 smernice (EÚ) 2022/2555 (smernica NIS 2) 2023/C 324/02 (Ú. v. EÚ L 324, 14.9.2023, s. 2 – 7).

    Oznámenie Komisie Usmernenia Komisie k uplatňovaniu článku 4 ods. 1 a 2 smernice (EÚ) 2022/2555 (smernica NIS 2) 2023/C 328/02 (Ú. v. EÚ L 328, 18.9.2023, s. 2 – 10).

    Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 zo 14. decembra 2022 o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014, (EÚ) č. 909/2014 a (EÚ) 2016/1011 (Ú. v. EÚ L 333, 27.12.2022, s. 1 – 79).

    Smernica Európskeho parlamentu a Rady (EÚ) 2022/2557 zo 14. decembra 2022 o odolnosti kritických subjektov a o zrušení smernice Rady 2008/114/ES (Ú. v. EÚ L 333, 27.12.2022, s. 164 – 198).

    Nariadenie Európskeho parlamentu a Rady (EÚ) 2021/696 z 28. apríla 2021, ktorým sa zriaďuje Vesmírny program Únie a Agentúra Európskej únie pre vesmírny program a ktorým sa zrušujú nariadenia (EÚ) č. 912/2010, (EÚ) č. 1285/2013 a (EÚ) č. 377/2014 a rozhodnutie č. 541/2014/EÚ (Ú. v. EÚ L 170, 12.5.2021, s. 69 – 148).

    Nariadenie Európskeho parlamentu a Rady (EÚ) 2021/694 z 29. apríla 2021, ktorým sa zriaďuje program Digitálna Európa a zrušuje rozhodnutie (EÚ) 2015/2240 (Ú. v. EÚ L 166, 11.5.2021, s. 1 – 34).

    Pozri konsolidované znenie.

    Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7.6.2019, s. 15 – 69).

    Odporúčanie Komisie (EÚ) 2019/534 z 26. marca 2019 Kybernetická bezpečnosť sietí 5G (Ú. v. EÚ L 88, 29.3.2019, s. 42 – 47).

    Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1139 zo 4. júla 2018 o spoločných pravidlách v oblasti civilného letectva, ktorým sa zriaďuje Agentúra Európskej únie pre bezpečnosť letectva a ktorým sa menia nariadenia Európskeho parlamentu a Rady (ES) č. 2111/2005, (ES) č. 1008/2008, (EÚ) č. 996/2010, (EÚ) č. 376/2014 a smernice Európskeho parlamentu a Rady 2014/30/EÚ a 2014/53/EÚ a zrušujú nariadenia Európskeho parlamentu a Rady (ES) č. 552/2004 a (ES) č. 216/2008 a nariadenie Rady (EHS) č. 3922/91 (Ú. v. EÚ L 212, 22.8.2018, s. 1 – 122).

    Pozri konsolidované znenie.

    Vykonávacie rozhodnutie Rady (EÚ) 2018/1993 z 11. decembra 2018 o dojednaniach EÚ o integrovanej politickej reakcii na krízu (Ú. v. EÚ L 320, 17.12.2018, s. 28 – 34).

    Smernica Európskeho parlamentu a Rady (EÚ) 2018/1972 z 11. decembra 2018, ktorou sa stanovuje európsky kódex elektronických komunikácií (prepracované znenie) (Ú. v. EÚ L 321, 17.12.2018, s. 36 – 214).

    Pozri konsolidované znenie.

    Odporúčanie Komisie (EÚ) 2017/1584 z 13. septembra 2017 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (Ú. v. EÚ L 239, 19.9.2017, s. 36 – 58).

    Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1 – 88)

    Pozri konsolidované znenie.

    Nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (Ú. v. EÚ L 257, 28.8.2014, s. 73 – 114).

    Smernica Európskeho parlamentu a Rady 2013/40/EÚ z 12. augusta 2013 o útokoch na informačné systémy, ktorou sa nahrádza rámcové rozhodnutie Rady 2005/222/SVV (Ú. v. EÚ L 218, 14.8.2013, s. 8 – 14).

    Rozhodnutie Európskeho parlamentu a Rady č. 1313/2013/EÚ zo 17. decembra 2013 o mechanizme Únie v oblasti civilnej ochrany (Ú. v. EÚ L 347, 20.12.2013, s. 924 – 947).

    Pozri konsolidované znenie.

    Smernica Európskeho parlamentu a Rady 2011/93/EÚ z 13. decembra 2011 o boji proti sexuálnemu zneužívaniu a sexuálnemu vykorisťovaniu detí a proti detskej pornografii, ktorou sa nahrádza rámcové rozhodnutie Rady 2004/68/SVV (Ú. v. EÚ L 335, 17.12.2011, s. 1 – 14)

    Pozri konsolidované znenie.

    Nariadenie Európskeho parlamentu a Rady (ES) č. 300/2008 z 11. marca 2008 o spoločných pravidlách v oblasti bezpečnostnej ochrany civilného letectva a o zrušení nariadenia (ES) č. 2320/2002 (Ú. v. EÚ L 97, 9.4.2008, s. 72 – 84).

    Pozri konsolidované znenie.

    Smernica Európskeho parlamentu a Rady 2002/58/EC z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. EÚ L 201, 31.7.2002, s. 37 – 47).

    Pozri konsolidované znenie.

    Posledná aktualizácia 03.05.2024

    Top