1.198
Nová právní úprava v oblasti kybernetické bezpečnosti
Mgr. Mgr. Radana Burešová
V současné době se stále větší část lidské komunikace přenáší do on-line prostředí, přičemž tento trend ještě posílila pandemie onemocnění COVID-19 a opatření k jejímu zamezení. Kybernetická bezpečnost je však stále více ohrožována mj. v důsledku napjaté mezinárodní situace, a to zvláště prostřednictvím prostředků tzv. hybridního boje.
Již v minulosti proto Evropská unie schválila směrnici Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (dále jen "směrnice NIS"), která byla do českého práva provedena zákonem č. 181/2014 Sb., o kybernetické bezpečnosti.
Technický pokrok spolu s vlivy uvedenými výše si však vynutil novou právní úpravu. V současné době se proto pracuje na návrhu nové směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (dále jen "návrh směrnice NIS 2" a "směrnice NIS 2"), která má nahradit stávající směrnici NIS.
Aby se požadavky vyplývající z budoucí směrnice NIS 2 staly součástí českého právního řádu, bude nejprve nezbytná aktualizace zákona o kybernetické bezpečnosti, popř. dalších právních předpisů. Návrh směrnice NIS 2 aktuálně předpokládá, že ji členské státy budou muset provést do svého práva nejpozději do 18 měsíců poté, co směrnice NIS 2 nabude platnosti. Předpokládá se, že se tak stane ve 4. čtvrtletí 2022 a do práva členských států tedy bude směrnice NIS 2 provedena do roku 2024.
Ačkoli doposud není zcela jisté, jak bude vypadat konečná právní úprava v českém zákoně, je namístě seznámit se se základními principy nové úpravy a připravit se na její účinnost.
Hlavním cílem nové směrnice má být zajištění odolnosti subjektů, které jsou zásadní pro fungování společnosti. Toho má být dosaženo mimo jiné tím, že bude značně rozšířen okruh povinných subjektů, které budou muset plnit povinnosti v oblasti kybernetické bezpečnosti.
Zároveň probíhají práce na dalších předpisech, jejichž cílem je zajištění odolnosti a na které směrnice NIS 2 bude odkazovat. Jedná se zejména o:
a) nařízení o digitální provozní odolnosti (tzv. nařízení DORA); předmětem právní úpravy nařízení DORA budou jednotné požadavky na bezpečnost sítí a informačních systémů subjektů působících ve finančním sektoru i kritických třetích stran, které jim poskytují služby související s informačními a komunikačními technologiemi, jako jsou cloudové platformy nebo služby analýzy dat;
b) směrnici o posílení odolnosti kritických subjektů (tzv. směrnice CER), která má nahradit dosavadní směrnici upravující tuto oblast.
NahoruPovinné subjekty
Doposud se otázkami kybernetické bezpečnosti musely zabývat tzv. základní subjekty, tedy subjekty činné v oblasti energetiky, dopravy, bankovnictví, infrastruktury finančních trhů, zdravotnictví, vodního hospodářství (zejména zásobování pitnou vodou) a v našem případě i chemického průmyslu, a dále tzv. digitální subjekty působící v oblasti digitální infrastruktury.
Podle návrhu směrnice NIS 2 má být okruh povinných subjektů jednak podstatně rozšířen (předpokládá se, že nově bude v ČR cca 6 tisíc povinných subjektů) a jednak tyto subjekty mají být nově rozděleny do dvou skupin – na základní subjekty, k nimž kromě výše uvedených přibude i veřejná správa a subjekty působící v oblasti využívání vesmíru. Do druhé, zcela nové, skupiny tzv. důležitých (popř. významných) subjektů budou patřit mj. poštovní a kurýrní služby, výroba, produkce a distribuce chemických látek, výroba, produkce a distribuce potravin, výrobci výslovně uvedených výrobků a digitální poskytovatelé.
Mimoto dojde k rozšíření okruhu subjektů spadajících do již existujících kategorií povinných subjektů. Například v oblasti vodárenství to mimo dodavatelů pitné vody budou i subjekty působící v oblasti odpadového hospodářství nebo v oblasti energetiky i subjekty provozující dálkové vytápění, značné množství subjektů přibyde i ve zdravotnictví.
Přesná specifikace dotčených subjektů vyplývá z návrhu příloh směrnice NIS 2 (tučně jsou vyznačeny nové povinné subjekty):
NahoruZákladní subjekty
NahoruDůležité subjekty (všechny tyto subjekty jsou "nové"):
Povinným subjektem však automaticky nebude každý subjekt působící v dané oblasti. V zásadě by se totiž mělo jednat o střední a velké podniky, tj. podniky, které mají více než 50 zaměstnanců a/nebo jejichž roční obrat přesahuje 10 mil. euro. Nicméně povinným subjektem se bude moci stát i podnik, který má méně zaměstnanců nebo menší obrat, pokud spadá do některé z níže uvedených kategorií:
1. veřejné sítě elektronických komunikací nebo s veřejně dostupnými službami elektronických komunikací uvedenými v bodě 8 přílohy I směrnice NIS 2;
2. poskytovatelé služeb vytvářejících důvěru uvedení v bodě 8 přílohy I směrnice NIS 2;
3. poskytovatelé služeb registrů internetových domén nejvyšší úrovně a systémy doménových jmen uvedení v bodě 8 přílohy I směrnice NIS 2;
4. subjekty, které jsou orgánem veřejné správy podle definice uvedené v čl. 4 bodě 23 směrnice NIS 2;
5. subjekty, které jsou výhradním dodavatelem služeb v daném státě;
6. pokud by možné narušení služby poskytované tímto subjektem mohlo mít vliv na veřejný pořádek, veřejnou bezpečnost nebo ochranu zdraví;
7. pokud by možné narušení služby poskytované tímto subjektem mohlo vyvolat systémová rizika,…