Nařízení o bezpečnosti sítí a informačních systémů (NIS2) představuje klíčový krok k posílení kybernetické bezpečnosti v Evropě. Tato směrnice se vztahuje na široké spektrum sektorů a organizací, které musí přijmout přísnější bezpečnostní opatření a protokoly. V tomto článku se podíváme, koho se týká směrnice NIS2 a zákon o kybernetické bezpečnosti, a jaké povinnosti z této nové legislativy vyplývají.
Koho se týkají povinnosti směrnice NIS2?
Směrnice NIS2, oficiálně známá jako Směrnice Evropského parlamentu a Rady (EU) 2022/2555 o bezpečnosti sítí a informací (NIS2), je klíčovým krokem v evropské legislativě zaměřeném na zajištění kybernetické bezpečnosti. NIS2 navazuje na předchozí směrnici NIS a klade větší důraz na ochranu kritické infrastruktury a digitálních služeb v členských státech EU. Cílem směrnice je posílit bezpečnost a odolnost proti kybernetickým hrozbám, které mohou ohrozit nejen národní, ale i evropskou bezpečnost.
NIS2 se týká celé řady sektorů, organizací a podniků, ale zároveň zahrnuje i výjimky a specifické podmínky, které určí, kdo konkrétně musí dodržovat její požadavky.
Sektory, kterých se NIS2 týká
Směrnice NIS2 rozděluje subjekty do dvou hlavních kategorií: kritické subjekty a důležité subjekty, přičemž oba tyto sektory musí plnit přísné požadavky v oblasti kybernetické bezpečnosti.
- Kritická infrastruktura (Critical Entities)
Tato kategorie zahrnuje sektory, které jsou zásadní pro fungování společnosti a ekonomiky. Mezi tyto sektory patří:- Energie: Elektrická, plynárenská a ropná infrastruktura, včetně obnovitelných zdrojů energie (např. solární panely, větrné elektrárny).
- Doprava: Letiště, železnice, přístavy, dálnice a dopravní systémy.
- Zdravotní péče: Nemocnice, kliniky, zařízení pro poskytování zdravotních služeb.
- Voda: Vodárenské systémy, zásobování vodou a kanalizace.
- Digitální infrastruktura: Datová centra, cloudové služby, poskytovatelé internetových a komunikačních služeb.
- Důležité sektory (Important Entities)
Sem spadají sektory, které nejsou přímo kritické pro fungování společnosti, ale mají stále velký vliv na bezpečnost, hospodářství nebo veřejnou správu:- Poštovní služby a logistika.
- Potravinářský průmysl.
- Finanční sektor: Banky, pojišťovny a finanční instituce.
- Veřejná správa: Místní, regionální a národní vládní subjekty.
Výjimky a specifika týkající se NIS2
I když NIS2 pokrývá širokou škálu sektorů, existují určité výjimky, které mohou ovlivnit, kdo se bude podřídit specifickým pravidlům směrnice.
- Malé a střední podniky (SME):
Organizace, které splňují kritéria pro malé a střední podniky, mohou být osvobozeny od některých požadavků NIS2. To závisí na velikosti podniku, ročním obratu a počtu zaměstnanců. Nicméně, i malé a střední podniky v některých klíčových sektorech (např. energie, doprava) mohou být povinny dodržovat určité požadavky, pokud jejich činnost ohrožuje bezpečnost a stabilitu infrastruktury. - Solární panely ve firmách a další obnovitelné zdroje:
NIS2 se vztahuje i na firmy, které využívají obnovitelné zdroje energie, jako jsou solární panely. Pokud firma provozuje vlastní solární elektrárnu, která je součástí její energetické infrastruktury a má vliv na bezpečnost nebo stabilitu dodávek energie, bude muset dodržovat přísná pravidla pro kybernetickou bezpečnost, i když se jedná o obnovitelný zdroj. - Méně významné subjekty:
Ne všechny organizace, které působí v daných sektorech, se musí podřizovat plnému rozsahu NIS2. Méně významné subjekty, které nemají zásadní vliv na bezpečnost nebo kontinuitu poskytovaných služeb, mohou být osvobozeny od některých povinností. - Výjimky pro malé technologie:
Pokud jde o menší technologie, jako jsou interní aplikace nebo zařízení, které nejsou přímo součástí kritické infrastruktury (například malé firemní servery nebo jednoduché IoT zařízení), může být podmínky kybernetické bezpečnosti flexibilnější.
NIS2 a režim vyšších a nižších povinností
Rozdělení subjektů do režimu vyšších a nižších povinností plnění požadavků směrnice NIS2 vymezuje vyhláška o regulovaných službách, která obsahuje výčet všech regulovaných služeb, souvisejících podslužeb a také konkrétní specifika, jež se liší v návaznosti na dané odvětví.
Příklad: Jak určit, koho se týká směrnice NIS2
Společnost Alpha s. r. o. poskytuje služby v oblasti energetiky, konkrétně výroby elektřiny a disponuje elektrickým výkonem 120 MW – spadá tedy mezi poskytovatelé regulovaných služeb.
Na základě příručky (viz výše) se identifikuje jako střední podnik.
Její zástupci ve vyhlášce o regulovaných službách (viz výše) naleznou příslušnou službu a podslužbu (v tomto případě str. 7) a projdou si jednotlivá kritéria. I když je subjekt středním podnikem, disponuje vyšším než vymezeným výkonem, proto spadá do režimu vyšších povinností NIS2.
Jak zjistit, koho se týká směrnice NIS2 (ve zkratce)
Proces zjištění, koho se týká směrnice NIS2, lze shrnout následovně:
- Ujistěte se, že spadáte mezi poskytovatele regulovaných služeb.
- Určete velikost svého podniku.
- Pokud patříte mezi střední a velké podniky, zjistěte míru svých povinností ve vyhlášce o regulovaných služeb.
V nastíněném postupu samozřejmě existují i výjimky. Na některé služby (například poskytování služeb DNS) se požadavky NIS2 vztahují ve všech případech. Specifická pravidla se týkají také partnerských a propojených podniků, kdy se k velikosti podniku přičítá také velikost dalších organizací.
Pokud hledáte intuitivní řešení, které vám pomůže splnit všechny požadavky NIS2, zaregistrujte se v naší aplikaci NIS2 OCHRANA. Poskytne vám komplexní přehled o zodpovědných osobách, hlášení kybernetických incidentů a dalších povinnostech vyplývajících z novely kybernetického zákona.
