Směrnice (EU) 2022/2555, známá jako NIS2, stanovuje společný regulační rámec pro kybernetickou bezpečnost, jehož cílem je zvýšit úroveň kybernetické bezpečnosti v Evropské unii (EU), přičemž vyžaduje, aby členské státy EU posílily kapacity v oblasti kybernetické bezpečnosti, a zavádí opatření k řízení kybernetických bezpečnostních rizik a oznamovací povinnosti v kritických odvětvích, a to společně s pravidly pro spolupráci, sdílení informací, dohled a prosazování.

KLÍČOVÉ BODY

Kybernetická bezpečnost se vztahuje na činnosti nezbytné k ochraně sítí a informačních systémů, jejich uživatelů a dalších osob dotčených kybernetickými hrozbami.

Kritická odvětví

Směrnice se vztahuje především na střední a velké subjekty působící v následujících vysoce kritických odvětvích definovaných v příloze I směrnice:

energie:
- elektřina, včetně výrobních, distribučních a přenosových soustav a nabíjecích bodů,
- dálkové vytápění a chlazení,
- ropa, včetně těžby, skladování a ropovodů,
- plyn, včetně výrobních, distribučních a přenosových soustav a skladování, a
- vodík,
přeprava ve vzduchu, po železnici, po vodních cestách a silnici,
bankovnictví a infrastruktury finančního trhu, jako jsou úvěrové instituce, provozovatelé obchodních systémů a ústřední protistrany,
zdravotnictví, včetně poskytovatelů zdravotní péče, výrobců základních farmaceutických výrobků a kritických zdravotnických prostředků a referenčních laboratoří EU,
pitná voda,
odpadní voda,
digitální infrastruktura, včetně poskytovatelů služeb datových center, služeb cloud computingu, veřejných sítí elektronických komunikací a veřejně dostupných služeb elektronických komunikací,
řízené služby IKT (mezi podniky),
vesmír,
veřejná správa na centrální a regionální úrovni, s výjimkou soudnictví, parlamentů a centrálních bank; směrnice se nevztahuje na subjekty veřejné správy, které vykonávají činnosti v oblasti národní bezpečnosti, veřejné bezpečnosti, obrany nebo vymáhání práva.

Vztahuje se také na další kritická odvětví vymezená v příloze II:

poštovní a kurýrní služby,
nakládání s odpady,
výroba, produkce a distribuce chemických látek,
výroba, zpracování a distribuce potravin,
výroba, zejména zdravotnických prostředků, počítačů, elektronických a optických přístrojů, některých elektrických zařízení a strojů, motorových vozidel a ostatních dopravních prostředků a zařízení,
digitální poskytovatelé on-line tržišť, vyhledávačů a sociálních sítí a
výzkumné organizace.

Národní strategie kybernetické bezpečnosti

Každý členský stát musí přijmout národní strategii k dosažení a udržení vysoké úrovně kybernetické bezpečnosti v kritických odvětvích, včetně:

rámce správy, který vyjasňuje úlohy a povinnosti příslušných zúčastněných stran na vnitrostátní úrovni,
politik na podporu bezpečnosti dodavatelských řetězců,
politik pro řešení zranitelností,
politik na podporu a rozvoj vzdělávání a odborné přípravy v oblasti kybernetické bezpečnosti a
opatření ke zlepšení informovanosti o kybernetické bezpečnosti mezi občany.

Členské státy musí do 17. dubna 2025 stanovit seznam základních a důležitých subjektů, a to spolu se subjekty poskytujícími služby registrace jmen domén. Tento seznam musí pravidelně přezkoumávat, a to alespoň každé dva roky, a v případě potřeby jej aktualizovat. Evropská komise přijala pokyny týkající se informací, které je třeba shromáždit při vypracovávání těchto seznamů, a to společně se šablonou.

Komise také vydala pokyny, které objasňují pravidla vztahu mezi směrnicí (EU) 2022/2555 a současnými a budoucími odvětvovými právními akty EU, které se zabývají opatřeními k řízení kybernetických bezpečnostních rizik nebo požadavky na hlášení incidentů. Dodatek k pokynům obsahuje neúplný seznam odvětvových právních aktů, které Komise považuje za spadající do oblasti působnosti článku 4 směrnice (EU) 2022/2555.

Týmy pro reakce na počítačové bezpečnostní incidenty

Týmy pro reakce na počítačové bezpečnostní incidenty (týmy CSIRT) poskytují subjektům technickou pomoc, mimo jiné:

monitorováním a analýzou kybernetických hrozeb, zranitelností a incidentů na vnitrostátní úrovni,
poskytováním včasných varování a upozornění, oznamováním a informacemi o kybernetických hrozbách, zranitelnostech a incidentech dotčeným subjektům a dalším zúčastněným stranám, pokud možno v téměř reálném čase,
reakcí na incidenty a případně poskytnutím pomoci,
shromažďováním a analyzováním forenzních dat a poskytováním dynamické analýzy rizik a incidentů a přehledu o situaci v oblasti kybernetické bezpečnosti a
prováděním proaktivního skenování sítí a informačních systémů na základě žádosti s cílem odhalit zranitelnosti s potenciálním významným dopadem.

Síť CSIRT

Směrnice zřizuje síť vnitrostátních týmů CSIRT na podporu rychlé a účinné operativní spolupráce.

Koordinované odhalování slabých míst

Členské státy musí:

určit jeden ze svých týmů CSIRT, který bude koordinovat zveřejňování zranitelností odhalených v produktech nebo službách IKT, a
zajistit, aby osoby v členských státech mohly oznamovat zranitelnosti, na požádání anonymně.

Agentura Evropské unie pro kybernetickou bezpečnost (ENISA) vytvoří a bude spravovat databázi zranitelností.

Skupina pro spolupráci

Směrnice zřizuje skupinu pro spolupráci na podporu a usnadnění strategické spolupráce a výměny informací. Skupina se skládá ze zástupců členských států, Komise a agentury ENISA. V příslušném případě může skupina pro spolupráci přizvat ke spolupráci Evropský parlament a zástupce příslušných zúčastněných stran.

Evropská síť styčných organizací pro řešení kybernetických krizí

Evropská síť styčných organizací pro řešení kybernetických krizí (EU-CyCLONe) je tvořena zástupci orgánů členských států pro řešení kybernetických krizí a v případech, kdy potenciální nebo probíhající rozsáhlý kybernetický bezpečnostní incident má nebo pravděpodobně bude mít významný dopad na odvětví spadající do oblasti působnosti této směrnice, jsou jejími členy také zástupci Komise. V jiných případech se činností sítě Komise zúčastní jako pozorovatel.

Síť podporuje koordinované řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí na operativní úrovni a zajišťuje pravidelnou výměnu informací mezi členskými státy a orgány, institucemi a jinými subjekty EU.

Síť má mimo jiné za úkol:

koordinovat řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí a podporovat rozhodování na politické úrovni,
zvyšovat připravenost,
rozvíjet situační povědomí a
posuzovat důsledky a dopad rozsáhlých kybernetických bezpečnostních incidentů a krizí a navrhovat případná opatření k jejich zmírnění.

Opatření k řízení kybernetických bezpečnostních rizik

Subjekty musí přijmout přiměřená a adekvátní technická, provozní a organizační opatření pro řízení kybernetických bezpečnostních rizik. Katalog opatření zahrnuje mimo jiné analýzu rizik a zásady bezpečnosti informačních systémů, řešení incidentů, kontinuitu provozu, zotavení po havárii a krizové řízení, bezpečnost dodavatelského řetězce, řešení a odhalování zranitelností, základní hygienické postupy, zásady a postupy týkající se používání kryptografie (a případně šifrování), bezpečnost lidských zdrojů a používání vícefaktorového ověřování nebo řešení průběžného ověřování. Tato opatření musí být založena na přístupu zohledňujícím všechna rizika.

Řídicí orgány musí tato opatření schvalovat a dohlížet na jejich provádění a mohou být hnány k odpovědnosti za jejich porušení.

Podávání zpráv

Subjekty musí oznámit svému týmu CSIRT nebo příslušnému orgánu veškeré incidenty, které:

způsobily nebo by mohly způsobit závažné provozní narušení služeb nebo finanční ztráty,
způsobily nebo by mohly způsobit jiným osobám značnou hmotnou nebo nehmotnou újmu.

Agentura ENISA společně s Komisí a skupinou pro spolupráci kromě toho vypracuje jednou za dva roky zprávu o stavu kybernetické bezpečnosti v EU, která bude předložena také Parlamentu.

Dohled a vymáhání

Směrnice stanovuje prostředky a sankce k zajištění vymáhání.

Vzájemná hodnocení

Vzájemná hodnocení mají za cíl poučit se ze společných zkušeností, posílit vzájemnou důvěru, dosáhnout společné vysoké úrovně kybernetické bezpečnosti a posílit schopnosti a politiky členských států v oblasti kybernetické bezpečnosti, které jsou nezbytné pro provádění této směrnice. Tato hodnocení zahrnují virtuální návštěvy nebo návštěvy na místě i externí výměny informací. Účast na těchto vzájemných hodnoceních je dobrovolná.

Prováděcí akt

Prováděcí nařízení (EU) 2024/2690 stanovuje pravidla pro uplatňování směrnice (EU) 2022/2555, pokud jde o technické a metodické požadavky na opatření k řízení rizik v oblasti kybernetické bezpečnosti, a dále upřesňuje případy, kdy je incident považován za významný s ohledem na:

poskytovatele služeb systému názvů domén,
registry doménových jmen nejvyšší úrovně,
poskytovatele služeb cloud computingu,
poskytovatele služeb datových center,
poskytovatele sítí pro doručování obsahu,
poskytovatele spravovaných služeb,
poskytovatele spravovaných služeb zabezpečení,
poskytovatele online tržišť, online vyhledávačů a platforem pro služby sociálních sítí a
poskytovatele služeb vytvářejících důvěru.

Zrušení

Směrnice (EU) 2022/2555 zrušila směrnici (EU) 2016/1148 (viz shrnutí) od 18. října 2024 a prováděcí nařízení (EU) 2024/2690 zrušilo prováděcí nařízení (EU) 2018/151, které stanovilo pravidla pro uplatňování směrnice (EU) 2016/1148.

ODKDY TATO PRAVIDLA PLATÍ?

Směrnice musela být provedena do vnitrostátního práva do 17. října 2024. Pravidla platí ode dne 18. října 2024.

KONTEXT

Další informace viz:

Kybernetická bezpečnost (Evropská komise)
Jak EU posiluje svou kybernetickou bezpečnost (Evropská rada, Rada Evropské unie)
Jak EU reaguje na krize a buduje odolnost (Evropská rada, Rada Evropské unie)
Digitální budoucnost pro Evropu (Evropská rada, Rada Evropské unie).

HLAVNÍ DOKUMENT

Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2) (Úř. věst. L 333, 27.12.2022, s. 80–152).

Následné změny směrnice (EU) 2022/2555 byly začleněny do původní verze. Toto konsolidované znění má pouze dokumentární hodnotu.

SOUVISEJÍCÍ DOKUMENTY

Prováděcí nařízení Komise (EU) 2024/2690 ze dne 17. října 2024, kterým se stanoví pravidla pro uplatňování směrnice (EU) 2022/2555, pokud jde o technické a metodické požadavky na opatření k řízení kybernetických bezpečnostních rizik a bližší upřesnění případů, v nichž se incident považuje za významný, pokud jde o provozovatele DNS, registry domén nejvyšší úrovně, poskytovatele služeb cloud computingu, poskytovatele služeb datových center, poskytovatele sítí pro doručování obsahu, poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb, poskytovatele on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí a poskytovatele služeb vytvářejících důvěru (Úř. věst. L, 2024/2690, 18.10.2024).

Sdělení Komise – Pokyny Komise k uplatňování čl. 3 odst. 4 směrnice (EU) 2022/2555 (směrnice NIS 2) 2023/C 324/02 (Úř. věst. C 324, 14.9.2023, s. 2–7).

Sdělení Komise – Pokyny Komise k uplatňování čl. 4 odst. 1 a 2 směrnice (EU) 2022/2555 (směrnice NIS 2) 2023/C 328/02 (Úř. věst. C 328, 18.9.2023, s. 2–10).

Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (Úř. věst. L 333, 27.12.2022, s. 1–79).

Směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES (Úř. věst. L 333, 27.12.2022, s. 164–198).

Nařízení Evropského parlamentu a Rady (EU) 2021/696 ze dne 28. dubna 2021, kterým se zavádí Kosmický program Unie a zřizuje Agentura Evropské unie pro Kosmický program a zrušují nařízení (EU) č. 912/2010, (EU) č. 1285/2013 a (EU) č. 377/2014 a rozhodnutí č. 541/2014/EU (Úř. věst. L 170, 12.5.2021, s. 69–148).

Nařízení Evropského parlamentu a Rady (EU) 2021/694 ze dne 29. dubna 2021, kterým se zavádí program Digitální Evropa a zrušuje rozhodnutí (EU) 2015/2240 (Úř. věst. L 166, 11.5.2021, s. 1–34).

Viz konsolidované znění.

Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (Úř. věst. L 151, 7.6.2019, s. 15–69).

Viz konsolidované znění.

Doporučení Komise (EU) 2019/534 ze dne 26. března 2019 – Kybernetická bezpečnost sítí 5G (Úř. věst. L 88, 29.3.2019, s. 42–47).

Nařízení Evropského parlamentu a Rady (EU) 2018/1139 ze dne 4. července 2018 o společných pravidlech v oblasti civilního letectví a o zřízení Agentury Evropské unie pro bezpečnost letectví, kterým se mění nařízení (ES) č. 2111/2005, (ES) č. 1008/2008, (EU) č. 996/2010, (EU) č. 376/2014 a směrnice Evropského parlamentu a Rady 2014/30/EU a 2014/53/EU a kterým se zrušuje nařízení Evropského parlamentu a Rady (ES) č. 552/2004 a (ES) č. 216/2008 a nařízení Rady (EHS) č. 3922/91 (Úř. věst. L 212, 22.8.2018, s. 1–122).

Viz konsolidované znění.

Směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace (přepracované znění) (Úř. věst. L 321, 17.12.2018, s. 36–214).

Viz konsolidované znění.

Prováděcí rozhodnutí Rady (EU) 2018/1993 ze dne 11. prosince 2018 o opatřeních pro integrovanou politickou reakci EU na krize (Úř. věst. L 320, 17.12.2018, s. 28–34).

Doporučení Komise (EU) 2017/1584 ze dne 13. září 2017 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (Úř. věst. L 239, 19.9.2017, s. 36–58).

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1–88).

Viz konsolidované znění.

Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (Úř. věst. L 257, 28.8.2014, s. 73–114).

Viz konsolidované znění.

Směrnice Evropského parlamentu a Rady 2013/40/EU ze dne 12. srpna 2013 o útocích na informační systémy a nahrazení rámcového rozhodnutí Rady 2005/222/SVV (Úř. věst. L 218, 14.8.2013, s. 8–14).

Rozhodnutí Evropského parlamentu a Rady č. 1313/2013/EU ze dne 17. prosince 2013 o mechanismu civilní ochrany Unie (Úř. věst. L 347, 20.12.2013, s. 924–947).

Viz konsolidované znění.

Směrnice Evropského parlamentu a Rady 2011/93/EU ze dne 13. prosince 2011 o boji proti pohlavnímu zneužívání a pohlavnímu vykořisťování dětí a proti dětské pornografii, kterou se nahrazuje rámcové rozhodnutí Rady 2004/68/SVV (Úř. věst. L 335, 17.12.2011, s. 1–14).

Viz konsolidované znění.

Nařízení Evropského parlamentu a Rady (ES) č. 300/2008 ze dne 11. března 2008 o společných pravidlech v oblasti ochrany civilního letectví před protiprávními činy a o zrušení nařízení (ES) č. 2320/2002 (Úř. věst. L 97, 9.4.2008, s. 72–84).

Viz konsolidované znění.

Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, 31.7.2002, s. 37–47).

Viz konsolidované znění.

Poslední aktualizace 7.3.2025

Top