Směrnice (EU) 2022/2555, známá jako NIS2, stanovuje společný regulační rámec pro kybernetickou bezpečnost, jehož cílem je zvýšit úroveň kybernetické bezpečnosti v Evropské unii (EU), přičemž vyžaduje, aby členské státy EU posílily kapacity v oblasti kybernetické bezpečnosti, a zavádí opatření k řízení kybernetických bezpečnostních rizik a oznamovací povinnosti v kritických odvětvích, a to společně s pravidly pro spolupráci, sdílení informací, dohled a prosazování.
KLÍČOVÉ BODY
Kybernetická bezpečnost se vztahuje na činnosti nezbytné k ochraně sítí a informačních systémů, jejich uživatelů a dalších osob dotčených kybernetickými hrozbami.
Kritická odvětví
Směrnice se vztahuje především na střední a velké subjekty působící v následujících vysoce kritických odvětvích definovaných v příloze I směrnice:
energie:
elektřina, včetně výrobních, distribučních a přenosových soustav a nabíjecích bodů,
dálkové vytápění a chlazení,
ropa, včetně těžby, skladování a ropovodů,
plyn, včetně výrobních, distribučních a přenosových soustav a skladování, a
vodík,
přeprava ve vzduchu, po železnici, po vodních cestách a silnici,
bankovnictví a infrastruktury finančního trhu, jako jsou úvěrové instituce, provozovatelé obchodních systémů a ústřední protistrany,
zdravotnictví, včetně poskytovatelů zdravotní péče, výrobců základních farmaceutických výrobků a kritických zdravotnických prostředků a referenčních laboratoří EU,
pitná voda,
odpadní voda,
digitální infrastruktura, včetně poskytovatelů služeb datových center, služeb cloud computingu, veřejných sítí elektronických komunikací a veřejně dostupných služeb elektronických komunikací,
řízené služby IKT (mezi podniky),
vesmír,
veřejná správa na centrální a regionální úrovni, s výjimkou soudnictví, parlamentů a centrálních bank; směrnice se nevztahuje na subjekty veřejné správy, které vykonávají činnosti v oblasti národní bezpečnosti, veřejné bezpečnosti, obrany nebo vymáhání práva.
Vztahuje se také na další kritická odvětví vymezená v příloze II:
poštovní a kurýrní služby,
nakládání s odpady,
výroba, produkce a distribuce chemických látek,
výroba, zpracování a distribuce potravin,
výroba, zejména zdravotnických prostředků, počítačů, elektronických a optických přístrojů, některých elektrických zařízení a strojů, motorových vozidel a ostatních dopravních prostředků a zařízení,
digitální poskytovatelé on-line tržišť, vyhledávačů a sociálních sítí a
výzkumné organizace.
Národní strategie kybernetické bezpečnosti
Každý členský stát musí přijmout národní strategii k dosažení a udržení vysoké úrovně kybernetické bezpečnosti v kritických odvětvích, včetně:
rámce správy, který vyjasňuje úlohy a povinnosti příslušných zúčastněných stran na vnitrostátní úrovni,
politik na podporu bezpečnosti dodavatelských řetězců,
politik pro řešení zranitelností,
politik na podporu a rozvoj vzdělávání a odborné přípravy v oblasti kybernetické bezpečnosti a
opatření ke zlepšení informovanosti o kybernetické bezpečnosti mezi občany.
Členské státy musí do stanovit seznam základních a důležitých subjektů, a to spolu se subjekty poskytujícími služby registrace jmen domén. Tento seznam musí pravidelně přezkoumávat, a to alespoň každé dva roky, a v případě potřeby jej aktualizovat. Evropská komise přijala pokyny týkající se informací, které je třeba shromáždit při vypracovávání těchto seznamů, a to společně se šablonou.
Komise také vydala pokyny, které objasňují pravidla vztahu mezi směrnicí (EU) 2022/2555 a současnými a budoucími odvětvovými právními akty EU, které se zabývají opatřeními k řízení kybernetických bezpečnostních rizik nebo požadavky na hlášení incidentů. Dodatek k pokynům obsahuje neúplný seznam odvětvových právních aktů, které Komise považuje za spadající do oblasti působnosti článku 4 směrnice (EU) 2022/2555.
Týmy pro reakce na počítačové bezpečnostní incidenty (týmy CSIRT) poskytují subjektům technickou pomoc, mimo jiné:
monitorováním a analýzou kybernetických hrozeb, zranitelností a incidentů na vnitrostátní úrovni,
poskytováním včasných varování a upozornění, oznamováním a informacemi o kybernetických hrozbách, zranitelnostech a incidentech dotčeným subjektům a dalším zúčastněným stranám, pokud možno v téměř reálném čase,
reakcí na incidenty a případně poskytnutím pomoci,
shromažďováním a analyzováním forenzních dat a poskytováním dynamické analýzy rizik a incidentů a přehledu o situaci v oblasti kybernetické bezpečnosti a
prováděním proaktivního skenování sítí a informačních systémů na základě žádosti s cílem odhalit zranitelnosti s potenciálním významným dopadem.
Síť CSIRT
Směrnice zřizuje síť vnitrostátních týmů CSIRT na podporu rychlé a účinné operativní spolupráce.
Směrnice zřizuje skupinu pro spolupráci na podporu a usnadnění strategické spolupráce a výměny informací. Skupina se skládá ze zástupců členských států, Komise a agentury ENISA. V příslušném případě může skupina pro spolupráci přizvat ke spolupráci Evropský parlament a zástupce příslušných zúčastněných stran.
Evropská síť styčných organizací pro řešení kybernetických krizí (EU-CyCLONe) je tvořena zástupci orgánů členských států pro řešení kybernetických krizí a v případech, kdy potenciální nebo probíhající rozsáhlý kybernetický bezpečnostní incident má nebo pravděpodobně bude mít významný dopad na odvětví spadající do oblasti působnosti této směrnice, jsou jejími členy také zástupci Komise. V jiných případech se činností sítě Komise zúčastní jako pozorovatel.
Síť podporuje koordinované řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí na operativní úrovni a zajišťuje pravidelnou výměnu informací mezi členskými státy a orgány, institucemi a jinými subjekty EU.
Síť má mimo jiné za úkol:
koordinovat řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí a podporovat rozhodování na politické úrovni,
zvyšovat připravenost,
rozvíjet situační povědomí a
posuzovat důsledky a dopad rozsáhlých kybernetických bezpečnostních incidentů a krizí a navrhovat případná opatření k jejich zmírnění.
Opatření k řízení kybernetických bezpečnostních rizik
Subjekty musí přijmout přiměřená a adekvátní technická, provozní a organizační opatření pro řízení kybernetických bezpečnostních rizik. Katalog opatření zahrnuje mimo jiné analýzu rizik a zásady bezpečnosti informačních systémů, řešení incidentů, kontinuitu provozu, zotavení po havárii a krizové řízení, bezpečnost dodavatelského řetězce, řešení a odhalování zranitelností, základní hygienické postupy, zásady a postupy týkající se používání kryptografie (a případně šifrování), bezpečnost lidských zdrojů a používání vícefaktorového ověřování nebo řešení průběžného ověřování. Tato opatření musí být založena na přístupu zohledňujícím všechna rizika.
Řídicí orgány musí tato opatření schvalovat a dohlížet na jejich provádění a mohou být hnány k odpovědnosti za jejich porušení.
Podávání zpráv
Subjekty musí oznámit svému týmu CSIRT nebo příslušnému orgánu veškeré incidenty, které:
způsobily nebo by mohly způsobit závažné provozní narušení služeb nebo finanční ztráty,
způsobily nebo by mohly způsobit jiným osobám značnou hmotnou nebo nehmotnou újmu.
Agentura ENISA společně s Komisí a skupinou pro spolupráci kromě toho vypracuje jednou za dva roky zprávu o stavu kybernetické bezpečnosti v EU, která bude předložena také Parlamentu.
Dohled a vymáhání
Směrnice stanovuje prostředky a sankce k zajištění vymáhání.
Vzájemná hodnocení
Vzájemná hodnocení mají za cíl poučit se ze společných zkušeností, posílit vzájemnou důvěru, dosáhnout společné vysoké úrovně kybernetické bezpečnosti a posílit schopnosti a politiky členských států v oblasti kybernetické bezpečnosti, které jsou nezbytné pro provádění této směrnice. Tato hodnocení zahrnují virtuální návštěvy nebo návštěvy na místě i externí výměny informací. Účast na těchto vzájemných hodnoceních je dobrovolná.
Prováděcí nařízení (EU) 2024/2690 stanovuje pravidla pro uplatňování směrnice (EU) 2022/2555, pokud jde o technické a metodické požadavky na opatření k řízení rizik v oblasti kybernetické bezpečnosti, a dále upřesňuje případy, kdy je incident považován za významný s ohledem na:
poskytovatele služeb systému názvů domén,
registry doménových jmen nejvyšší úrovně,
poskytovatele služeb cloud computingu,
poskytovatele služeb datových center,
poskytovatele sítí pro doručování obsahu,
poskytovatele spravovaných služeb,
poskytovatele spravovaných služeb zabezpečení,
poskytovatele online tržišť, online vyhledávačů a platforem pro služby sociálních sítí a
poskytovatele služeb vytvářejících důvěru.
Zrušení
Směrnice (EU) 2022/2555 zrušila směrnici (EU) 2016/1148 (viz shrnutí) od a prováděcí nařízení (EU) 2024/2690 zrušilo prováděcí nařízení (EU) 2018/151, které stanovilo pravidla pro uplatňování směrnice (EU) 2016/1148.
ODKDY TATO PRAVIDLA PLATÍ?
Směrnice musela být provedena do vnitrostátního práva do . Pravidla platí ode dne .
Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2) (Úř. věst. L 333, , s. 80–152).
Následné změny směrnice (EU) 2022/2555 byly začleněny do původní verze. Toto konsolidované znění má pouze dokumentární hodnotu.
SOUVISEJÍCÍ DOKUMENTY
Prováděcí nařízení Komise (EU) 2024/2690 ze dne , kterým se stanoví pravidla pro uplatňování směrnice (EU) 2022/2555, pokud jde o technické a metodické požadavky na opatření k řízení kybernetických bezpečnostních rizik a bližší upřesnění případů, v nichž se incident považuje za významný, pokud jde o provozovatele DNS, registry domén nejvyšší úrovně, poskytovatele služeb cloud computingu, poskytovatele služeb datových center, poskytovatele sítí pro doručování obsahu, poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb, poskytovatele on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí a poskytovatele služeb vytvářejících důvěru (Úř. věst. L, 2024/2690, ).
Sdělení Komise – Pokyny Komise k uplatňování čl. 3 odst. 4 směrnice (EU) 2022/2555 (směrnice NIS 2) 2023/C 324/02 (Úř. věst. C 324, , s. 2–7).
Sdělení Komise – Pokyny Komise k uplatňování čl. 4 odst. 1 a 2 směrnice (EU) 2022/2555 (směrnice NIS 2) 2023/C 328/02 (Úř. věst. C 328, , s. 2–10).
Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (Úř. věst. L 333, , s. 1–79).
Směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES (Úř. věst. L 333, , s. 164–198).
Nařízení Evropského parlamentu a Rady (EU) 2021/696 ze dne , kterým se zavádí Kosmický program Unie a zřizuje Agentura Evropské unie pro Kosmický program a zrušují nařízení (EU) č. 912/2010, (EU) č. 1285/2013 a (EU) č. 377/2014 a rozhodnutí č. 541/2014/EU (Úř. věst. L 170, , s. 69–148).
Nařízení Evropského parlamentu a Rady (EU) 2021/694 ze dne , kterým se zavádí program Digitální Evropa a zrušuje rozhodnutí (EU) 2015/2240 (Úř. věst. L 166, , s. 1–34).
Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (Úř. věst. L 151, , s. 15–69).
Doporučení Komise (EU) 2019/534 ze dne – Kybernetická bezpečnost sítí 5G (Úř. věst. L 88, , s. 42–47).
Nařízení Evropského parlamentu a Rady (EU) 2018/1139 ze dne o společných pravidlech v oblasti civilního letectví a o zřízení Agentury Evropské unie pro bezpečnost letectví, kterým se mění nařízení (ES) č. 2111/2005, (ES) č. 1008/2008, (EU) č. 996/2010, (EU) č. 376/2014 a směrnice Evropského parlamentu a Rady 2014/30/EU a 2014/53/EU a kterým se zrušuje nařízení Evropského parlamentu a Rady (ES) č. 552/2004 a (ES) č. 216/2008 a nařízení Rady (EHS) č. 3922/91 (Úř. věst. L 212, , s. 1–122).
Směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne , kterou se stanoví evropský kodex pro elektronické komunikace (přepracované znění) (Úř. věst. L 321, , s. 36–214).
Prováděcí rozhodnutí Rady (EU) 2018/1993 ze dne o opatřeních pro integrovanou politickou reakci EU na krize (Úř. věst. L 320, , s. 28–34).
Doporučení Komise (EU) 2017/1584 ze dne o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (Úř. věst. L 239, , s. 36–58).
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, , s. 1–88).
Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (Úř. věst. L 257, , s. 73–114).
Směrnice Evropského parlamentu a Rady 2013/40/EU ze dne o útocích na informační systémy a nahrazení rámcového rozhodnutí Rady 2005/222/SVV (Úř. věst. L 218, , s. 8–14).
Rozhodnutí Evropského parlamentu a Rady č. 1313/2013/EU ze dne o mechanismu civilní ochrany Unie (Úř. věst. L 347, , s. 924–947).
Směrnice Evropského parlamentu a Rady 2011/93/EU ze dne o boji proti pohlavnímu zneužívání a pohlavnímu vykořisťování dětí a proti dětské pornografii, kterou se nahrazuje rámcové rozhodnutí Rady 2004/68/SVV (Úř. věst. L 335, , s. 1–14).
Nařízení Evropského parlamentu a Rady (ES) č. 300/2008 ze dne o společných pravidlech v oblasti ochrany civilního letectví před protiprávními činy a o zrušení nařízení (ES) č. 2320/2002 (Úř. věst. L 97, , s. 72–84).
Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, , s. 37–47).