Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Summaries of EU Legislation

  • Archived: true

    • Kybernetická bezpečnost sítí a informačních systémů

     

    PŘEHLED DOKUMENTU:

    Směrnice (EU) 2016/1148 – kybernetická bezpečnost sítí a informačních systémů

    CO JE CÍLEM TÉTO SMĚRNICE?

    Touto směrnicí se navrhuje široká škála opatření na zvýšení úrovně bezpečnosti sítí a informačních systémů (kybernetická bezpečnost*) s cílem zabezpečit služby, které jsou zásadní pro hospodářství a společnost v EU. Jejím cílem je zajistit, aby země EU byly dobře připraveny a schopny řešit kybernetické útoky a reagovat na ně prostřednictvím:

    Stanoví rovněž spolupráci na úrovni EU, a to jak na strategické, tak na technické úrovni.

    V neposlední řadě zavádí povinnost poskytovatelů základních služeb a digitálních služeb přijmout přiměřená bezpečnostní opatření a ohlašovat příslušným vnitrostátním orgánům závažné incidenty.

    KLÍČOVÉ BODY

    Zlepšování vnitrostátních schopností v oblasti kybernetické bezpečnosti

    Země EU musí:

    • ustanovit jeden nebo více vnitrostátních příslušných orgánů a týmy CSIRT a určit jednotné kontaktní místo (v případě, že byl ustanoven více než jeden příslušný orgán),
    • určit poskytovatele základních služeb v klíčových odvětvích, jako je energetika, doprava, finance, bankovnictví, zdravotnictví, voda a digitální infrastruktura, v nichž by kybernetický útok mohl narušit poskytování základní služby.

    Země EU musí rovněž zavést národní strategii v oblasti kybernetické bezpečnosti pro sítě a informační systémy*, která bude zahrnovat tyto body:

    • připravenost na řešení kybernetických útoků a reakci na ně,
    • úlohy, povinnosti a spolupráce vlád a jiných subjektů,
    • vzdělávací, informační a školicí programy,
    • plánování výzkumu a vývoje,
    • plánování pro určení rizik.

    Příslušné vnitrostátní orgány sledují uplatňování směrnice prostřednictvím:

    • posouzení politik kybernetické bezpečnosti a jiných aspektů bezpečnosti u poskytovatelů základních služeb,
    • dohledu nad poskytovateli digitálních služeb,
    • účasti na činnosti skupiny pro spolupráci (kterou tvoří příslušné orgány pro bezpečnost sítí a informací z každé země EU, Evropská komise a Agentura Evropské unie pro bezpečnost sítí a informací (ENISA)),
    • případného informování veřejnosti s cílem zamezit incidentu nebo zvládat probíhající incident při současném zachování důvěrnosti,
    • vydání závazných pokynů k nápravě nedostatků v oblasti kybernetické bezpečnosti.

    Týmy CSIRT odpovídají za:

    • monitorování incidentů v oblasti kybernetické bezpečnosti a reakce na ně,
    • poskytování analýzy rizik a incidentů a přehledu o situaci,
    • účast v síti týmů CSIRT,
    • spolupráci se soukromým sektorem,
    • prosazování používání standardních postupů v oblasti řešení incidentů a rizik a klasifikace incidentů.

    Bezpečnostní požadavky a požadavky na hlášení incidentů

    Cílem směrnice je podporovat kulturu řízení rizik. Podniky působící v klíčových odvětvích musí posoudit rizika, která podstupují, a přijmout opatření k zajištění kybernetické bezpečnosti. Tyto společnosti musí oznámit příslušným orgánům nebo týmům CSIRT veškeré relevantní incidenty, jako je hacking nebo krádež údajů, které vážně narušují kybernetickou bezpečnost a vedou k významnému narušování setrvalého poskytování klíčové služby a dodávky zboží.

    Při určování incidentů, které mají poskytovatelé základních služeb* oznamovat, by země EU měly zohlednit délku trvání incidentu a zeměpisný rozsah oblasti, ale i jiné faktory, například počet uživatelů, kteří jsou na dané službě závislí.

    Klíčoví poskytovatelé digitálních služeb (internetové vyhledávače a služby cloud computingu a online tržiště) budou rovněž muset splňovat požadavky na bezpečnost a ohlašovací povinnost.

    Zlepšování spolupráce na úrovni EU

    Směrnicí se zřizuje skupina pro spolupráci, mezi jejíž úkoly patří:

    • poskytování vedení pro síť CSIRT,
    • výměna osvědčených postupů, pokud jde o určování poskytovatelů základních služeb,
    • pomoc zemím EU při budování schopnosti v oblasti kybernetické bezpečnosti,
    • sdílení informací a osvědčených postupů o zvyšování informovanosti a odborné přípravě a o výzkumu a vývoji,
    • sdílení informací a shromažďování osvědčených postupů o rizicích a incidentech,
    • jednání o způsobech hlášení incidentů.

    Směrnicí se rovněž zřizuje síť CSIRT, kterou tvoří zástupci týmů CSIRT ze zemí EU a tým CERT (Computer Emergency Response Team). K jejím úkolům patří:

    • sdílení informací o službách týmů CSIRT,
    • sdílení informací o incidentech v oblasti kybernetické bezpečnosti,
    • podpora zemí EU v reakci na přeshraniční incidenty,
    • projednání a vymezení koordinované reakce na incident ohlášený jednou zemí EU,
    • projednání, hledání a vymezení dalších forem operativní spolupráce, včetně:
      • kategorií rizik a incidentů,
      • včasných varování,
      • vzájemné pomoci,
      • koordinace mezi zeměmi při reakci na přeshraniční rizika a incidenty, které se týkají více než jedné země EU,
    • informování skupiny pro spolupráci o činnostech a vyžádání pokynů,
    • projednání poznatků získaných ze cvičení týkajících se kybernetické bezpečnosti,
    • na žádost jednotlivých týmů CSIRT projednání jejich schopností,
    • vydávání pokynů pro operativní spolupráci.

    Sankce

    Země EU musí stanovit účinné, přiměřené a odrazující sankce, aby zajistily, že budou dodržovány podmínky této směrnice.

    ODKDY SE TATO SMĚRNICE POUŽIJE?

    Použije se ode dne 8. srpna 2016. Země EU ji musejí začlenit do svého vnitrostátního práva do 9. května 2018 a určit poskytovatele základních služeb do 9. listopadu 2018.

    KONTEXT

    KLÍČOVÉ POJMY

    Kybernetická bezpečnost: schopnost sítě a informačních systémů odolávat zásahům, které narušují dostupnost, autenticitu, integritu nebo důvěrnost digitálních dat nebo služeb, které tyto informační systémy nabízejí.
    Síť a informační systém: síť elektronických komunikací nebo veškerá zařízení nebo skupina vzájemně propojených zařízení, která provádějí zpracování digitálních dat, jakož i digitální data, jež jsou uchovávána, zpracovávána, opětovně vyhledávána nebo předávána.
    Základní služby: soukromé podniky nebo veřejné subjekty, které plní významnou úlohu pro společnosti nebo hospodářství, např. pokud jde o dodávku vody, služby dodávky elektrické energie atd.

    HLAVNÍ DOKUMENT

    Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Úř. věst. L 194, 19.7.2016, s. 1–30)

    SOUVISEJÍCÍ DOKUMENTY

    Prováděcí nařízení Komise (EU) 2018/151 ze dne 30. ledna 2018, kterým se stanoví pravidla pro uplatňování směrnice Evropského parlamentu a Rady (EU) 2016/1148, pokud jde o bližší upřesnění prvků, které musí poskytovatelé digitálních služeb zohledňovat při řízení bezpečnostních rizik, jimiž jsou vystaveny sítě a informační systémy, a parametrů pro posuzování toho, zda je dopad incidentu významný (Úř. věst. L 26, 31.1.2018, s. 48–51)

    Prováděcí rozhodnutí Komise (EU) 2017/179 ze dne 1. února 2017, kterým se stanoví procesní pravidla nezbytná pro fungování skupiny pro spolupráci v souladu s čl. 11 odst. 5 směrnice Evropského parlamentu a Rady (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Úř. věst. L 28, 2.2.2017, s. 73–77)

    Sdělení Komise Evropskému parlamentu a Radě: Maximální využití směrnice o bezpečnosti sítí a informací – účinné provedení směrnice (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (COM(2017) 476 final 2, 4.10.2017)

    Doporučení Komise (EU) 2017/1584 ze dne 13. září 2017 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (Úř. věst. L 239, 19.9.2017, s. 36–58)

    Společné sdělení Evropskému parlamentu a Radě – Odolnost, odrazování a obrana: budování silné kybernetické bezpečnosti pro EU (JOIN(2017) 450 final, 13.9.2017)

    Pracovní dokument útvarů Komise – Hodnocení strategie EU pro kybernetickou bezpečnost z roku 2013 (SWD(2017) 295 final, 13.9.2017)

    Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (Úř. věst. L 257, 28.8.2014, s. 73–114)

    Postupné změny a opravy nařízení (EU) č. 910/2014 byly začleněny do původního dokumentu. Toto konsolidované znění má pouze dokumentární hodnotu.

    Rozhodnutí Rady 2013/488/EU ze dne 23. září 2013 o bezpečnostních pravidlech na ochranu utajovaných informací EU (Úř. věst. L 274, 15.10.2013, s. 1–50).

    Viz konsolidované znění.

    Směrnice Evropského parlamentu a Rady 2013/40/EU ze dne 12. srpna 2013 o útocích na informační systémy a nahrazení rámcového rozhodnutí Rady 2005/222/SVV (Úř. věst. L 218, 14.8.2013, s. 8–14)

    Nařízení Evropského parlamentu a Rady (EU) č. 526/2013 ze dne 21. května 2013 o Agentuře Evropské unie pro bezpečnost sítí a informací (ENISA) a o zrušení nařízení (ES) č. 460/2004 (Úř. věst. L 165, 18.6.2013, s. 41–58)

    Společné sdělení Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů – Strategie kybernetické bezpečnosti Evropské unie: Otevřený, bezpečný a chráněný kyberprostor (JOIN(2013) 1 final, 7.2.2013)

    Poslední aktualizace 01.03.2018

    Top