Kybernetická bezpečnost sítí a informačních systémů

 

PŘEHLED DOKUMENTU:

Směrnice (EU) 2016/1148 – kybernetická bezpečnost sítí a informačních systémů

CO JE CÍLEM TÉTO SMĚRNICE?

Touto směrnicí se navrhuje široká škála opatření na zvýšení úrovně bezpečnosti sítí a informačních systémů (kybernetická bezpečnost*) s cílem zabezpečit služby, které jsou zásadní pro hospodářství a společnost v EU. Jejím cílem je zajistit, aby země EU byly dobře připraveny a schopny řešit kybernetické útoky a reagovat na ně prostřednictvím:

Stanoví rovněž spolupráci na úrovni EU, a to jak na strategické, tak na technické úrovni.

V neposlední řadě zavádí povinnost poskytovatelů základních služeb a digitálních služeb přijmout přiměřená bezpečnostní opatření a ohlašovat příslušným vnitrostátním orgánům závažné incidenty.

KLÍČOVÉ BODY

Zlepšování vnitrostátních schopností v oblasti kybernetické bezpečnosti

Země EU musí:

Země EU musí rovněž zavést národní strategii v oblasti kybernetické bezpečnosti pro sítě a informační systémy*, která bude zahrnovat tyto body:

Příslušné vnitrostátní orgány sledují uplatňování směrnice prostřednictvím:

Týmy CSIRT odpovídají za:

Bezpečnostní požadavky a požadavky na hlášení incidentů

Cílem směrnice je podporovat kulturu řízení rizik. Podniky působící v klíčových odvětvích musí posoudit rizika, která podstupují, a přijmout opatření k zajištění kybernetické bezpečnosti. Tyto společnosti musí oznámit příslušným orgánům nebo týmům CSIRT veškeré relevantní incidenty, jako je hacking nebo krádež údajů, které vážně narušují kybernetickou bezpečnost a vedou k významnému narušování setrvalého poskytování klíčové služby a dodávky zboží.

Při určování incidentů, které mají poskytovatelé základních služeb* oznamovat, by země EU měly zohlednit délku trvání incidentu a zeměpisný rozsah oblasti, ale i jiné faktory, například počet uživatelů, kteří jsou na dané službě závislí.

Klíčoví poskytovatelé digitálních služeb (internetové vyhledávače a služby cloud computingu a online tržiště) budou rovněž muset splňovat požadavky na bezpečnost a ohlašovací povinnost.

Zlepšování spolupráce na úrovni EU

Směrnicí se zřizuje skupina pro spolupráci, mezi jejíž úkoly patří:

Směrnicí se rovněž zřizuje síť CSIRT, kterou tvoří zástupci týmů CSIRT ze zemí EU a tým CERT (Computer Emergency Response Team). K jejím úkolům patří:

Sankce

Země EU musí stanovit účinné, přiměřené a odrazující sankce, aby zajistily, že budou dodržovány podmínky této směrnice.

ODKDY SE TATO SMĚRNICE POUŽIJE?

Použije se ode dne 8. srpna 2016. Země EU ji musejí začlenit do svého vnitrostátního práva do 9. května 2018 a určit poskytovatele základních služeb do 9. listopadu 2018.

KONTEXT

KLÍČOVÉ POJMY

Kybernetická bezpečnost: schopnost sítě a informačních systémů odolávat zásahům, které narušují dostupnost, autenticitu, integritu nebo důvěrnost digitálních dat nebo služeb, které tyto informační systémy nabízejí.
Síť a informační systém: síť elektronických komunikací nebo veškerá zařízení nebo skupina vzájemně propojených zařízení, která provádějí zpracování digitálních dat, jakož i digitální data, jež jsou uchovávána, zpracovávána, opětovně vyhledávána nebo předávána.
Základní služby: soukromé podniky nebo veřejné subjekty, které plní významnou úlohu pro společnosti nebo hospodářství, např. pokud jde o dodávku vody, služby dodávky elektrické energie atd.

HLAVNÍ DOKUMENT

Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Úř. věst. L 194, 19.7.2016, s. 1–30)

SOUVISEJÍCÍ DOKUMENTY

Prováděcí nařízení Komise (EU) 2018/151 ze dne 30. ledna 2018, kterým se stanoví pravidla pro uplatňování směrnice Evropského parlamentu a Rady (EU) 2016/1148, pokud jde o bližší upřesnění prvků, které musí poskytovatelé digitálních služeb zohledňovat při řízení bezpečnostních rizik, jimiž jsou vystaveny sítě a informační systémy, a parametrů pro posuzování toho, zda je dopad incidentu významný (Úř. věst. L 26, 31.1.2018, s. 48–51)

Prováděcí rozhodnutí Komise (EU) 2017/179 ze dne 1. února 2017, kterým se stanoví procesní pravidla nezbytná pro fungování skupiny pro spolupráci v souladu s čl. 11 odst. 5 směrnice Evropského parlamentu a Rady (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Úř. věst. L 28, 2.2.2017, s. 73–77)

Sdělení Komise Evropskému parlamentu a Radě: Maximální využití směrnice o bezpečnosti sítí a informací – účinné provedení směrnice (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (COM(2017) 476 final 2, 4.10.2017)

Doporučení Komise (EU) 2017/1584 ze dne 13. září 2017 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (Úř. věst. L 239, 19.9.2017, s. 36–58)

Společné sdělení Evropskému parlamentu a Radě – Odolnost, odrazování a obrana: budování silné kybernetické bezpečnosti pro EU (JOIN(2017) 450 final, 13.9.2017)

Pracovní dokument útvarů Komise – Hodnocení strategie EU pro kybernetickou bezpečnost z roku 2013 (SWD(2017) 295 final, 13.9.2017)

Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (Úř. věst. L 257, 28.8.2014, s. 73–114)

Postupné změny a opravy nařízení (EU) č. 910/2014 byly začleněny do původního dokumentu. Toto konsolidované znění má pouze dokumentární hodnotu.

Rozhodnutí Rady 2013/488/EU ze dne 23. září 2013 o bezpečnostních pravidlech na ochranu utajovaných informací EU (Úř. věst. L 274, 15.10.2013, s. 1–50).

Viz konsolidované znění.

Směrnice Evropského parlamentu a Rady 2013/40/EU ze dne 12. srpna 2013 o útocích na informační systémy a nahrazení rámcového rozhodnutí Rady 2005/222/SVV (Úř. věst. L 218, 14.8.2013, s. 8–14)

Nařízení Evropského parlamentu a Rady (EU) č. 526/2013 ze dne 21. května 2013 o Agentuře Evropské unie pro bezpečnost sítí a informací (ENISA) a o zrušení nařízení (ES) č. 460/2004 (Úř. věst. L 165, 18.6.2013, s. 41–58)

Společné sdělení Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů – Strategie kybernetické bezpečnosti Evropské unie: Otevřený, bezpečný a chráněný kyberprostor (JOIN(2013) 1 final, 7.2.2013)

Poslední aktualizace 01.03.2018