5
Povinné subjekty v oblasti kybernetické bezpečnosti
Mgr. Mgr. Radana Burešová
Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2) ukládá členským státům EU, aby ve stanovené lhůtě zajistily přijetí a zavedení opatření, která stanoví směrnice NIS 2.
Směrnice určuje, na jaké osoby mají tato opatření dopadnout a hovoří v této souvislosti o tzv. základních subjektech a důležitých subjektech, přičemž stanoví kritéria pro zařazení do příslušné skupiny s tím, že jednotlivé členské státy popřípadě mohou rozhodnout, že určité subjekty, které by podle směrnice NIS 2 patřily mezi základní subjekty, zařadí mezi důležité subjekty, na něž budou kladeny přísnější požadavky.
V současnosti připravovaný český prováděcí zákon o kybernetické bezpečnosti používá poněkud odlišnou terminologii a povinné subjekty označuje jako poskytovatele regulované služby a rozlišuje mezi poskytovateli služby v režimu nižších povinností a poskytovateli služby v režimu vyšších povinností.
Předpokládá se, že nový zákon nabyde účinnosti koncem roku 2024. Z nynějšího stavu přípravných prací zatím vyplývají následující principy:
Pro zařazení mezi poskytovatele regulované služby bude rozhodující provozování příslušné služby a pro stanovení režimu povinností pak zpravidla velikost podniku poskytovatele, blíže viz článek Koho se týká směrnice NIS Koho se týká směrnice NIS 2?
Každý subjekt bude povinen provést tzv. samoidentifikaci, tedy sám určit, zda vůbec je poskytovatelem regulované služby, a pokud ano, v jakém režimu, a jako takový se zaregistrovat u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), blíže viz článek Jak postupovat v případě, že se na Vás vztahuje NIS 2.
V případě, že poskytovatel poskytuje vícero regulovaných služeb a ohledně některých splňuje…