NIS2

Smyslem směrnice je posílit kybernetickou bezpečnost firem a organizací v rámci Evropské unie, jejichž napadení nebo vyřazení z provozu kybernetickým útokem by mělo zásadní vliv na životy či zdraví občanů EU. NIS2 reguluje především poskytovatele digitálních služeb, ale například také významné podniky a organizace z oblasti energetiky, finančních a bankovních služeb, zdravotnictví, farmacie, dopravy a logistiky a mnoho dalších.

Poskytovatele regulovaných služeb rozlišuje NIS2 podle jejich významu a dopadů případných kyberútoků do dvou kategorií, ze kterých vychází režim nižších a vyšších povinností v oblasti zabezpečení, řízení rizik, hlášení incidentů a schopnosti obnovy.  

Zákon o kybernetické bezpečnosti

Do české legislativy se směrnice NIS2 promítne prostřednictvím nového Zákona o kybernetické bezpečnosti (ZoKB), který stanoví povinnosti v oblasti kybernetické bezpečnosti, jako jsou plány řízení rizik kybernetické bezpečnosti, testování odolnosti proti průniku, používání silných autentizačních mechanismů a hlášení kybernetických incidentů Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Zavádí se rovněž harmonizované sankce na úrovni EU za nedodržování požadavků směrnice, které mohou v případě velkých společností dosáhnout až 2 % jejich globálního ročního obratu.

Původní směrnice NIS se vztahuje pouze na provozovatele základních služeb ve specifických sektorech (energetika, doprava, zdravotnictví a finance), zatímco NIS2 rozšiřuje regulaci především na poskytovatele digitálních služeb. Opatření kybernetické bezpečnosti v rámci směrnice NIS jsou spíše obecné povahy, ale NIS2 zavádí přísnější a detailnější požadavky.

Směrnice ani ZoKB neuvádí konkrétní povinné subjekty, které se musí novými pravidly řídit. Proto musí každá organizace sama posoudit, zda se na ni nová legislativa vztahuje a ve kterém ze dvou režimů povinností.