Nové technické a metodické požadavky podle směrnice NIS 2

24. 7. 2024
5 minut čtení

Evropská komise dne 27. 6. 2024 zveřejnila návrh prováděcího nařízení (dále jako „Návrh”) k implementaci směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. 12. 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (dále jako „směrnice NIS 2“).[1] Prováděcí nařízení v unijním právu obecně blíže specifikují povinnosti plynoucí z unijních předpisů, a není tomu jinak ani v případě Návrhu. Cílem Návrhu je harmonizace určitých pravidel vyplývajících ze směrnice NIS 2 pro povinné osoby na unijní úrovni.

Povinnosti plynoucí z Návrhu je možné rozdělit na dvě skupiny – první je skupina technických a metodických požadavků (tyto jsou specifikovány v příloze Návrhu), druhou je pak skupina kritérií pro určení významných bezpečnostních incidentů.

Návrh se týká pouze speciálního okruhu subjektů vymezeného přímo ve směrnici NIS 2, a sice:

  • provozovatele DNS;
  • registry domén nejvyšší úrovně;
  • poskytovatele služeb cloud computingu;
  • poskytovatele služeb datových center;
  • poskytovatele sítí pro doručování obsahu;
  • poskytovatele řízených služeb;
  • poskytovatele řízených bezpečnostních služeb;
  • poskytovatele online tržišť, internetových vyhledávačů a služeb platforem sociálních sítí; a
  • poskytovatele služeb vytvářejících důvěru (čl. 23 odst. 11 směrnice NIS 2 sice na tuto skupinu explicitně neodkazuje narozdíl od jejího čl. 21 odst. 5, tyto subjekty jsou ale jmenovány v čl. 1 Návrhu a pravidla obou skupin ustanovení se ne ně tedy také uplatní).

První skupina ustanovení rozvádí minimální rámec opatření k řízení kybernetických bezpečnostních rizik, který je stanoven čl. 21 odst. 2 směrnice NIS 2 – tato opatření zahrnují politiky, procesy a procedury k zajištění kyberbezpečnosti u vybraných subjektů. Níže uvádíme výčet vybraných povinností (nejedená se tedy o výčet vyčerpávající), které budou muset nově subjekty podle směrnice NIS 2 a Návrhu splňovat:

  • ve vztahu k politice analýzy rizik a politice bezpečnosti informačních systémů stanovuje Návrh například povinnosti stanovení cílů a postojů ke kybernetické bezpečnosti, stanovení metodologie řešení incidentů a určení rolí odpovědných osob ve vztahu ke kyberbezpečnosti v rámci subjektu;
  • povinnosti při řešení incidentů obsahují povinnost subjektů zabezpečit jednoduchý mechanismus nahlašování podezřelých událostí, monitoringu a logování, jakož i další povinnosti při řešení incidentů (mj. jejich kategorizaci, jak subjekty na incidenty budou reagovat a jak se budou chovat po jejich skončení);
  • vzhledem k řízení kontinuity provozu Návrh stanovuje povinnosti k zálohovaní dat a krizovému managementu;
  • pro zajištění bezpečnosti dodavatelského řetězce Návrh stanovuje kritéria pro výběr dodavatelského řetězce a stanovuje povinnosti ve vztahu k dodavatelským smlouvám, které musí subjekty splnit;
  • ve vztahu k zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešeníNávrh stanovuje povinnosti vztahující se k životnímu cyklu informačních systémů, jakož i managementu jejich konfigurace, změnám, opravám, údržbě, bezpečnostnímu testování a další povinnosti týkající se informačních systémů;
  • Návrh stanovuje minimální obsah politik a postupů za účelem posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik;
  • za účelem zajištění základních postupů kybernetické hygieny a školení v oblasti kybernetické bezpečnosti Návrh obsahuje povinnost adekvátního proškolení všech zaměstnanců, včetně managementu, za účelem zabezpečení kybernetické bezpečnosti;
  • Návrh stanovuje minimální obsah politik a postupů týkajících se používání kryptografie či šifrování;
  • k zajištění bezpečnosti lidských zdrojů se stanovují konkrétní povinnosti ve vztahu k zaměstnancům, přímým dodavatelům a poskytovatelům služeb, povinnost vykonávat tzv. background checks, a také požadavky na smlouvy s těmito osobami;
  • ve vztahu k postupům kontroly přístupu Návrh stanovuje povinnosti ke správě přístupových údajů, privilegovaných účtů, spravovatelských systémů, či autentizačních řešení;
  • při správě aktiv je dle Návrhu potřeba vypracovat klasifikační systém pro tyto aktiva a politiky týkající se správy aktiv musí zahrnovat pravidla o nakládání s těmito aktivy;
  • Návrh nakonec stanovuje povinnosti k fyzickému zabezpečení prostředí, kdy jde nad rámec směrnice NIS 2, jelikož tato kategorie ve směrnici NIS 2 chybí – Návrh tak upravuje konkrétní povinnosti týkající se fyzických prostorů, kde se nacházejí kyberbezpečnostní aktiva.

Druhou skupinu ustanovení v Návrhu jsou čl. 3 až 14, které se týkají klasifikace incidentů jako významných. Čl. 3 a 4 jsou univerzální a vztahují se na všechny skupiny, ve zbylých článcích pak Návrh uvádí zvláštní kritéria pro posouzení incidentů u jednotlivých subjektů, které byly uvedeny výše.

Mezi základní kritéria, která určují, zda se jedná o významný incident, patří podle Návrhu mimo jiné:

  • výše finanční ztráty způsobené incidentem;
  • možnost způsobení škody na dobrém jméně či pověsti subjektu;
  • incident může v důsledku odhalit obchodní tajemství; nebo
  • v důsledku může dojít ke smrti osoby nebo k jiným těžkým následkům na jejím zdraví.

Stejně tak se bude incident pokládat za významný, pokud se bude opakovat alespoň dvakrát za uplynulých 6 měsíců a tyto incidenty mají stejnou zjevnou příčinu.

Pro jednotlivé kategorie jsou následně stanoveny specifická kritéria pro posuzování významnosti bezpečnostního incidentu. Například poskytovatelé služeb cloud computingu budou nově pokládat incident za významný, pokud incident kupř. způsobí celkový výpadek na více jak 10 minut, nebo mohlo dojít k porušení integrity, utajení či pravosti dat.

Obdobné podmínky platí také pro poskytovatele sítí pro doručování obsahu, poskytovatele řízených služeb (včetně bezpečnostních služeb) nebo i poskytovatele online tržišť a vyhledávačů.

Lehce rozdílné podmínky platí pro poskytovatele služeb vytvářejících důvěru, kteří budou muset také zajišťovat integritu konkrétních míst, kde se nachází kyberbezpečnostní aktiva.

Vzhledem k legislativní povaze Návrhu je velice pravděpodobné, že požadavky v něm uvedené budou kladeny na vybrané subjekty i přes možnou odlišnou vnitrostátní úpravu, která nás zatím stále v budoucnu čeká (o tom jsme Vás informovali zde). Proto doporučujeme se na nové požadavky připravovat již nyní. Pokud budete potřebovat pomoci s přípravami, neváhejte se na nás obrátit.

Autoři článku: Martin Bolvanský, Michal Buchta

[1] Návrh naleznete zde: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14241-Cybersecurity-risk-management-reporting-obligations-for-digital-infrastructure-providers-and-ICT-service-managers_en.

[2] Směrnice NIS 2 je přístupná na následujícím odkazu: https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A32022L2555&qid=1720527663505.

Autor článku:
Martin Bolvanský

Martin Bolvanský působil v Cisek jako senior právní asistent se zaměřením na právo IT a kybernetickou bezpečnost.