0.3.2
Nová právní úprava v oblasti kybernetické bezpečnosti
Mgr. Mgr. Radana Burešová
NahoruÚvodní slovo redakce
Koncem roku 2024 očekáváme nabytí účinnosti zcela nového zákona o kybernetické bezpečnosti, který do českého právního řádu transponuje evropskou směrnici NIS2 (Network and Information Security Directive 2). Zákon prochází legislativním procesem a jeho konečná podoba se bude měnit. Její vývoj můžete sledovat například:
-
na stránkách Národního úřadu pro kybernetickou bezpečnosti (NÚKIB): https://nukib.gov.cz/
-
v elektronické knihovně VeKLEP: https://www.odok.cz/portal/veklep/material/ALBSCSSFKU7S/
-
nebo například v níže uvedeném článku.
V současné době se stále větší část lidské komunikace přenáší do on-line prostředí, s čímž souvisí i zavedení opatření potřebných k zajištění kybernetické bezpečnosti. Již v minulosti proto Evropská unie schválila směrnici Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (dále jen "směrnice NIS"), která byla do českého práva provedena zákonem č. 181/2014 Sb., o kybernetické bezpečnosti.
Dne 14. prosince 2022 byla NIS nahrazena novou směrnici, tzv. NIS2, směrnice Evropského parlamentu a Rady (EU) 2022/2555, o opatřeních k zajištění vysoké společné úrovně kybernetické
bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148. Z této směrnice bude vycházet nový český chystaný zákon o kybernetické bezpečnosti.
Ačkoli doposud není zcela jisté, jak bude vypadat konečná právní úprava v českém zákoně, je namístě seznámit se se základními principy nové úpravy a připravit se na její účinnost.
Hlavním cílem nové směrnice má být zajištění odolnosti subjektů, které jsou zásadní pro fungování společnosti. Toho má být dosaženo mimo jiné tím, že bude značně rozšířen okruh povinných subjektů, které budou muset plnit povinnosti v oblasti kybernetické bezpečnosti.
Zároveň probíhají práce na dalších předpisech, jejichž cílem je zajištění odolnosti a na které směrnice NIS 2 bude odkazovat. Jedná se zejména o:
a) nařízení o digitální provozní odolnosti (tzv. nařízení DORA); předmětem právní úpravy nařízení DORA budou jednotné požadavky na bezpečnost sítí a informačních systémů subjektů působících ve finančním sektoru i kritických třetích stran, které jim poskytují služby související s informačními a komunikačními technologiemi, jako jsou cloudové platformy nebo služby analýzy dat;
b) směrnici o posílení odolnosti kritických subjektů (tzv. směrnice CER), která má nahradit dosavadní směrnici upravující tuto oblast.
NahoruPovinné subjekty
Doposud se otázkami kybernetické bezpečnosti musely zabývat tzv. základní subjekty, tedy subjekty činné v oblasti energetiky, dopravy, bankovnictví, infrastruktury finančních trhů, zdravotnictví, vodního hospodářství (zejména zásobování pitnou vodou) a v našem případě i chemického průmyslu, a dále tzv. digitální subjekty působící v oblasti digitální infrastruktury.
Podle návrhu směrnice NIS 2 má být okruh povinných subjektů jednak podstatně rozšířen (předpokládá se, že nově bude v ČR cca 6 tisíc povinných subjektů) a jednak tyto subjekty mají být nově rozděleny do dvou skupin – na základní subjekty, k nimž kromě výše uvedených přibude i veřejná správa a subjekty působící v oblasti využívání vesmíru. Do druhé, zcela nové, skupiny tzv. důležitých (popř. významných) subjektů budou patřit mj. poštovní a kurýrní služby, výroba, produkce a distribuce chemických látek, výroba, produkce a distribuce potravin, výrobci výslovně uvedených výrobků a digitální poskytovatelé.
Mimoto dojde k rozšíření okruhu subjektů spadajících do již existujících kategorií povinných subjektů. Například v oblasti vodárenství to mimo dodavatelů pitné vody budou i subjekty působící v oblasti odpadového hospodářství nebo v oblasti energetiky i subjekty provozující dálkové vytápění, značné množství subjektů přibyde i ve zdravotnictví.
Přesná specifikace dotčených subjektů vyplývá z návrhu příloh směrnice NIS 2 (tučně jsou vyznačeny nové povinné subjekty):
NahoruZákladní subjekty
NahoruDůležité subjekty (všechny tyto subjekty jsou "nové"):
Povinným subjektem však automaticky nebude každý subjekt působící v dané oblasti. V zásadě by se totiž mělo jednat o střední a velké podniky, tj. podniky, které mají více než 50 zaměstnanců a/nebo jejichž roční obrat přesahuje 10 mil. euro. Nicméně povinným subjektem se bude moci stát i podnik, který má méně zaměstnanců nebo menší obrat, pokud spadá do některé z níže uvedených kategorií:
1. veřejné sítě elektronických komunikací nebo s veřejně dostupnými službami elektronických komunikací uvedenými v bodě 8 přílohy I směrnice NIS 2;
2. poskytovatelé služeb vytvářejících důvěru uvedení v bodě 8 přílohy I směrnice NIS 2;
3. poskytovatelé služeb registrů internetových domén nejvyšší úrovně a systémy doménových jmen uvedení v bodě 8 přílohy I směrnice NIS 2;
4. subjekty, které jsou orgánem veřejné správy podle definice uvedené v čl. 4 bodě 23 směrnice NIS 2;
5. subjekty, které jsou výhradním dodavatelem služeb v daném státě;
6. pokud by možné narušení služby poskytované tímto subjektem mohlo mít vliv na veřejný pořádek, veřejnou bezpečnost nebo ochranu zdraví;
7. pokud by možné narušení služby poskytované tímto subjektem mohlo vyvolat systémová rizika, zejména…