Původní směrnice NIS, která platila doposud a jejíž články se propsaly do současné podoby kybernetického zákona, mířila především na kritickou infrastrukturu státu a subjekty podílející se na chodu této infrastruktury. Vzhledem k tomu, že digitalizace v průběhu posledních několika let pokročila a prakticky již neexistuje odvětví bez informačních systémů, směrnice NIS2 rozšiřuje okruh o dalších nejméně šest tisíc soukromých i státních společností a regulované společnosti definuje ve dvou nových kategoriích.
„První z nich je základní subjekt, přičemž tyto povinné osoby mají být tím nejdůležitějším, co bude v rámci regulace chráněno. Druhou skupinou pak budou povinné osoby v kategorii důležitý subjekt. Rozdíly mezi nimi jsou dány rozdílnou mírou rizika, která by měla být zohledněna při zavádění požadavků k řízení kyberbezpečnostních rizik, a rozdílným způsobem kontroly dodržování stanovených požadavků,“ uvádí na webových stránkách NÚKIB.
Směrnice zvýší počet regulovaných odvětví, rozšíří se stávající regulovaná odvětví o nové regulované služby a změní se i způsob identifikace povinných osob. Kybernetická bezpečnost se bude podle slov odborníků muset naplňovat například při výrobě elektřiny, při poskytování zdravotní péče, poskytování služeb elektronických komunikací, ale také u dalších více než šedesáti služeb roztříděných do osmnácti odvětví.
„Směrnice stanovuje kritéria, podle kterých budou subjekty vědět, zda se budou muset novým zněním kybernetického zákona řídit. Jde například o počet zaměstnanců, obrat či oblast podnikání. Znamená to, že směrnice dopadne nejen na velké, ale též i na střední podniky,“ doplňuje informace Lukáš Pirkl ze společnosti Algotech, která zajišťuje IT služby.
NIS 2 rovněž stanovuje, že vrcholný management povinných subjektů bude muset absolvovat školení, která zajistí dostatečné znalosti a dovednosti nezbytné k tomu, aby manažeři mohli identifikovat rizika a posoudit nejen postupy řízení kybernetických bezpečnostních rizik, ale i jejich dopad na poskytované služby. Dále definuje i to, jak má zabezpečení firem vypadat. Nestanovuje sice přímo konkrétní produkty, ale udává úroveň zabezpečení, které lze dosáhnout pouze použitím produktů. Firmy tak budou muset začít už s předstihem investovat tak, aby do poloviny roku 2024 splňovaly stanovené regule. Směrnice v sobě obsahuje i výrazně vyšší pokuty za nedodržení povinností. Zástupci NÚKIB hovoří o tom, že v případě porušení povinností základními subjekty hrozí pokuty, jejichž horní hranice sazby bude stanovena na nejméně 10 milionů EUR nebo na alespoň 2 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce. V případě porušení povinností důležitými subjekty bude horní hranice sazby pokuty stanovena na nejméně 7 milionů EUR nebo na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce.
Směrnice NIS 2 obsahuje změny, na které již pravděpodobně nebude možné reagovat novelizací zákona o kybernetické bezpečnosti. Proto NÚKIB, v jehož gesci se daná problematika nachází, v současnosti pracuje na novém zákonu o kybernetické bezpečnosti, který poté bude procházet klasickým legislativním procesem.
Celé znění směrnice, včetně připomínek (NÚKIB): Nová směrnice EU o bezpečnosti sítí a informací (gov.cz)
Zdroj: TZ Seteva a Algotech, a. s.
