This document is an excerpt from the EUR-Lex website
V smernici, známej ako NIS2, sa stanovuje spoločný regulačný rámec pre kybernetickú bezpečnosť s cieľom zlepšiť úroveň kybernetickej bezpečnosti v Európskej únii (EÚ), v ktorom sa od členských štátov EÚ vyžaduje posilnenie spôsobilostí v oblasti kybernetickej bezpečnosti, zavedenie opatrení na riadenie kybernetickej bezpečnosti a podávanie správ v kritických odvetviach spolu s pravidlami spolupráce, výmeny informácií, dohľadu a presadzovania práva.
Kybernetická bezpečnosť odkazuje na činnosti potrebné na ochranu sietí a informačných systémov, používateľov takýchto systémov a iných osôb dotknutých kybernetickými hrozbami.
Kritické odvetvia
Smernica sa uplatňuje hlavne na stredne veľké a veľké subjekty pôsobiace v týchto odvetviach s vysokou úrovňou kritickosti, ktoré sú vymedzené v prílohe I:
Vzťahuje sa aj na iné kritické sektory, ako sú vymedzené v prílohe II:
Národná stratégia v oblasti kybernetickej bezpečnosti
Každý členský štát musí prijať národnú stratégiu na dosiahnutie a zachovanie vysokej úrovne kybernetickej bezpečnosti v kritických odvetviach vrátane:
Členské štáty musia do 17. apríla 2025 zostaviť zoznam kľúčových a dôležitých subjektov, ako aj subjektov poskytujúcich služby registrácie názvov domén. Pravidelne a potom najmenej každé dva roky musia tento zoznam preskúmať a prípadne aktualizovať. Európska komisia prijala usmernenia týkajúce sa informácií, ktoré treba zhromažďovať pri vypracúvaní týchto zoznamov, ako aj príslušný vzor.
Komisia tiež vydala usmernenia, v ktorých objasnila pravidlá týkajúce sa vzťahu medzi smernicou (EÚ) 2022/2555 a súčasnými a budúcimi odvetvovými právnymi aktmi EÚ týkajúcimi sa opatrení na riadenie kybernetických rizík alebo požiadaviek na oznamovanie incidentov. V prílohe k usmerneniam je uvedený neúplný zoznam odvetvových právnych aktov, ktoré podľa Komisie patria do rozsahu pôsobnosti smernice (EÚ) 2022/2555.
Jednotky pre riešenie počítačových bezpečnostných incidentov
Jednotky pre riešenie počítačových bezpečnostných incidentov (jednotky CSIRT) poskytujú subjektom technickú pomoc subjektom, a to aj formou:
Sieť jednotiek CSIRT
Smernicou sa zriaďuje sieť národných jednotiek CSIRT na podporu rýchlej a účinnej operačnej spolupráce.
Koordinované zverejňovanie zraniteľností
Členské štáty musia:
Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA) vypracuje a bude viesť databázu zraniteľností.
Skupina pre spoluprácu
V smernici sa zriaďuje skupina pre spoluprácu na podporu a uľahčenie strategickej spolupráce a výmeny informácií. Tvoria ju zástupcovia členských štátov, Komisie a agentúry ENISA. V prípade potreby môže skupina pre spoluprácu vyzvať Európsky parlament a zástupcov príslušných zainteresovaných strán, aby sa zúčastnili na jej práci.
Európska sieť styčných organizácií pre kybernetické krízy
Európska sieť styčných organizácií pre kybernetické krízy (EU-CyCLONe) je sieť, ktorá sa skladá zo zástupcov orgánov členských štátov pre riadenie kybernetických kríz a v prípadoch, keď potenciálny alebo prebiehajúci rozsiahly kybernetický incident má alebo pravdepodobne bude mať významný vplyv na odvetvia patriace do rozsahu pôsobnosti tejto smernice, aj zástupcovia Komisie. Vo všetkých ostatných prípadoch sa Komisia zúčastní na činnostiach siete ako pozorovateľ.
Sieť podporuje koordinované riadenie rozsiahlych kybernetických bezpečnostných incidentov a kríz na operačnej úrovni a zabezpečuje pravidelnú výmenu informácií medzi členskými štátmi a inštitúciami, orgánmi a agentúrami EÚ.
Sieť má okrem iných tieto úlohy:
Podávanie správ
Subjekty musia oznámiť svojej jednotke CSIRT alebo príslušnému orgánu akýkoľvek incident, ktorý:
Agentúra ENISA bude navyše v spolupráci s Komisiou a skupinou spolupráce predkladať každé dva roky správu o stave kybernetickej bezpečnosti v EÚ, ktorá bude predložená aj Parlamentu.
Dohľad a presadzovanie práva
V smernici sa stanovujú nápravné opatrenia a sankcie na zabezpečenie presadzovania práva.
Partnerské preskúmania
Partnerské preskúmania sa vytvárajú s cieľom čerpať zo spoločných skúseností, posilniť vzájomnú dôveru, dosiahnuť vysokú spoločnú úroveň kybernetickej bezpečnosti, ako aj posilniť spôsobilosti kybernetickej bezpečnosti a politiky členských štátov potrebné na vykonávanie tejto smernice. Tieto preskúmania zahŕňajú osobné alebo virtuálne návštevy na mieste a výmenu informácií na diaľku. Účasť na partnerských preskúmaniach je dobrovoľná.
Smernica má byť transponovaná do vnútroštátnych právnych predpisov do 17. októbra 2024. Jej pravidlá sa majú uplatňovať od 18. októbra 2024.
Smernicou sa od 18. októbra 2024 ruší smernica (EÚ) 2016/1148 (pozri súhrn).
Ďalšie informácie:
Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) (Ú. v. EÚ L 333, 27.12.2022, s. 80 – 152).
Následné zmeny smernice (EÚ) 2022/2555 boli zapracované do pôvodného dokumentu. Toto konsolidované znenie slúži len na dokumentačné účely.
Oznámenie Komisie – Usmernenia Komisie k uplatňovaniu článku 3 ods. 4 smernice (EÚ) 2022/2555 (smernica NIS 2) 2023/C 324/02 (Ú. v. EÚ L 324, 14.9.2023, s. 2 – 7).
Oznámenie Komisie Usmernenia Komisie k uplatňovaniu článku 4 ods. 1 a 2 smernice (EÚ) 2022/2555 (smernica NIS 2) 2023/C 328/02 (Ú. v. EÚ L 328, 18.9.2023, s. 2 – 10).
Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 zo 14. decembra 2022 o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014, (EÚ) č. 909/2014 a (EÚ) 2016/1011 (Ú. v. EÚ L 333, 27.12.2022, s. 1 – 79).
Smernica Európskeho parlamentu a Rady (EÚ) 2022/2557 zo 14. decembra 2022 o odolnosti kritických subjektov a o zrušení smernice Rady 2008/114/ES (Ú. v. EÚ L 333, 27.12.2022, s. 164 – 198).
Nariadenie Európskeho parlamentu a Rady (EÚ) 2021/696 z 28. apríla 2021, ktorým sa zriaďuje Vesmírny program Únie a Agentúra Európskej únie pre vesmírny program a ktorým sa zrušujú nariadenia (EÚ) č. 912/2010, (EÚ) č. 1285/2013 a (EÚ) č. 377/2014 a rozhodnutie č. 541/2014/EÚ (Ú. v. EÚ L 170, 12.5.2021, s. 69 – 148).
Nariadenie Európskeho parlamentu a Rady (EÚ) 2021/694 z 29. apríla 2021, ktorým sa zriaďuje program Digitálna Európa a zrušuje rozhodnutie (EÚ) 2015/2240 (Ú. v. EÚ L 166, 11.5.2021, s. 1 – 34).
Pozri konsolidované znenie.
Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7.6.2019, s. 15 – 69).
Odporúčanie Komisie (EÚ) 2019/534 z 26. marca 2019 Kybernetická bezpečnosť sietí 5G (Ú. v. EÚ L 88, 29.3.2019, s. 42 – 47).
Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1139 zo 4. júla 2018 o spoločných pravidlách v oblasti civilného letectva, ktorým sa zriaďuje Agentúra Európskej únie pre bezpečnosť letectva a ktorým sa menia nariadenia Európskeho parlamentu a Rady (ES) č. 2111/2005, (ES) č. 1008/2008, (EÚ) č. 996/2010, (EÚ) č. 376/2014 a smernice Európskeho parlamentu a Rady 2014/30/EÚ a 2014/53/EÚ a zrušujú nariadenia Európskeho parlamentu a Rady (ES) č. 552/2004 a (ES) č. 216/2008 a nariadenie Rady (EHS) č. 3922/91 (Ú. v. EÚ L 212, 22.8.2018, s. 1 – 122).
Pozri konsolidované znenie.
Vykonávacie rozhodnutie Rady (EÚ) 2018/1993 z 11. decembra 2018 o dojednaniach EÚ o integrovanej politickej reakcii na krízu (Ú. v. EÚ L 320, 17.12.2018, s. 28 – 34).
Smernica Európskeho parlamentu a Rady (EÚ) 2018/1972 z 11. decembra 2018, ktorou sa stanovuje európsky kódex elektronických komunikácií (prepracované znenie) (Ú. v. EÚ L 321, 17.12.2018, s. 36 – 214).
Pozri konsolidované znenie.
Odporúčanie Komisie (EÚ) 2017/1584 z 13. septembra 2017 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (Ú. v. EÚ L 239, 19.9.2017, s. 36 – 58).
Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1 – 88)
Pozri konsolidované znenie.
Nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (Ú. v. EÚ L 257, 28.8.2014, s. 73 – 114).
Smernica Európskeho parlamentu a Rady 2013/40/EÚ z 12. augusta 2013 o útokoch na informačné systémy, ktorou sa nahrádza rámcové rozhodnutie Rady 2005/222/SVV (Ú. v. EÚ L 218, 14.8.2013, s. 8 – 14).
Rozhodnutie Európskeho parlamentu a Rady č. 1313/2013/EÚ zo 17. decembra 2013 o mechanizme Únie v oblasti civilnej ochrany (Ú. v. EÚ L 347, 20.12.2013, s. 924 – 947).
Pozri konsolidované znenie.
Smernica Európskeho parlamentu a Rady 2011/93/EÚ z 13. decembra 2011 o boji proti sexuálnemu zneužívaniu a sexuálnemu vykorisťovaniu detí a proti detskej pornografii, ktorou sa nahrádza rámcové rozhodnutie Rady 2004/68/SVV (Ú. v. EÚ L 335, 17.12.2011, s. 1 – 14)
Pozri konsolidované znenie.
Nariadenie Európskeho parlamentu a Rady (ES) č. 300/2008 z 11. marca 2008 o spoločných pravidlách v oblasti bezpečnostnej ochrany civilného letectva a o zrušení nariadenia (ES) č. 2320/2002 (Ú. v. EÚ L 97, 9.4.2008, s. 72 – 84).
Pozri konsolidované znenie.
Smernica Európskeho parlamentu a Rady 2002/58/EC z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. EÚ L 201, 31.7.2002, s. 37 – 47).
Pozri konsolidované znenie.
Posledná aktualizácia 03.05.2024