Posílení kybernetické bezpečnosti a odolnosti v celé EU – předběžná dohoda Rady a Evropského parlamentu

13.5.2022  se Rada s Evropským parlamentem dohodla na opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v celé EU s cílem dále zlepšit odolnost veřejného i soukromého sektoru i EU jako celku a jejich schopnost reagovat na incidenty.

Jakmile bude přijata, nahradí nová směrnice „NIS 2“ stávající pravidla pro bezpečnost sítí a informačních systémů (směrnice o bezpečnosti sítí a informací).

Důslednější řízení rizik a incidentů a spolupráce

Směrnice NIS 2 stanoví základ pro opatření k řízení kybernetických bezpečnostních rizik a povinnosti hlášení pro všechna odvětví, na něž se směrnice vztahuje, jako je energetika, doprava, zdravotnictví a digitální infrastruktura.

Cílem revidované směrnice je odstranit rozdíly v požadavcích na kybernetickou bezpečnost a v provádění opatření v oblasti kybernetické bezpečnosti v různých členských státech. Za tímto účelem stanoví minimální pravidla týkající se regulačního rámce a mechanismy účinné spolupráce mezi příslušnými orgány v každém členském státě. Aktualizuje seznam odvětví a činností, na něž se vztahují povinnosti v oblasti kybernetické bezpečnosti, a stanoví nápravná opatření a sankce k zajištění prosazování.

Na základě směrnice bude formálně zřízena Evropská síť styčných organizací pro řešení kybernetických krizí (EU-CyCLONe), která bude podporovat koordinované řízení rozsáhlých kybernetických bezpečnostních incidentů.

Širší oblast působnosti pravidel

Zatímco podle staré směrnice o bezpečnosti sítí a informací byly členské státy odpovědné za určení toho, které subjekty splňují kritéria pro zařazení mezi provozovatele základních služeb, nová směrnice o bezpečnosti sítí a informací zavádí pravidlo velikostního omezení. To znamená, že do oblasti působnosti směrnice budou spadat všechny střední a velké subjekty působící v odvětvích nebo poskytující služby, na něž se směrnice vztahuje.

Ačkoli dohoda Evropského parlamentu a Rady toto obecné pravidlo zachovává, předběžně dohodnuté znění obsahuje dodatečná ustanovení k zajištění proporcionality, vyšší úrovně řízení rizik a jednoznačných kritérií kritičnosti pro určení dotčených subjektů.

Znění rovněž objasňuje, že se směrnice nebude vztahovat na subjekty vykonávající činnosti v oblastech, jako je obrana nebo národní bezpečnost, veřejná bezpečnost, prosazování práva a soudnictví. Z oblasti působnosti jsou rovněž vyloučeny parlamenty a centrální banky.

Vzhledem k tomu, že i orgány veřejné správy jsou častým terčem kybernetických útoků, bude se systém NIS 2 vztahovat na ústřední i regionální subjekty veřejné správy. Členské státy mohou navíc rozhodnout, že se směrnice vztahuje i na dotčené subjekty na místní úrovni.

Jiné změny provedené spolunormotvůrci

Evropský parlament a Rada uvedly znění do souladu s odvětvovými právními předpisy, zejména s nařízením o digitální provozní odolnosti finančního sektoru (DORA) a se směrnicí o odolnosti kritických subjektů (CER), s cílem zajistit právní jasnost a soudržnost mezi NIS 2 a těmito akty.

Dobrovolný mechanismus vzájemného učení zvýší vzájemnou důvěru a povede k poučení se z osvědčených postupů a zkušeností, čímž přispěje k dosažení vysoké společné úrovně kybernetické bezpečnosti.

Oba spolunormotvůrci rovněž zjednodušili povinnosti hlášení, aby nebyla podávána příliš často, a nevznikla tak nadměrná zátěž pro dotčené subjekty.

Po vstupu této směrnice v platnost budou mít členské státy 21 měsíců na to, aby její ustanovení začlenily do svých vnitrostátních právních předpisů.

Další postup

Dnes uzavřenou předběžnou dohodu musí nyní Rada a Evropský parlament schválit.

Pokud jde o Radu, francouzské předsednictví má v úmyslu dohodu předložit brzy ke schválení Výboru stálých zástupců Rady.

Copyright © 2022     

Ochrana osobních údajů