Směrnice NIS2
Směrnice o bezpečnosti sítí a informačních systémů
Přehled
NIS2 nahrazuje a výrazně rozšiřuje původní směrnici NIS, stanovující vysokou společnou úroveň kybernetické bezpečnosti v celé EU. Platí pro mnohem širší okruh sektorů a subjektů, zavádí přísnější dozorčí opatření a harmonizuje sankce mezi členskými státy.[1]
Jako směrnice vyžadovala NIS2 transpozici do národního práva do 17. října 2024. Implementace se liší podle členského státu.
Rozsah: Základní vs Důležité subjekty
Základní subjekty (přísnější dohled)[2]
| Sektor | Příklady |
|---|---|
| Energie | Elektřina, ropa, plyn, vodík, dálkové vytápění |
| Doprava | Letecká, železniční, vodní, silniční |
| Banka | Kreditní instituce |
| Finanční trhy | Obchodní místa, centrální protistrany |
| Zdravotnictví | Poskytovatelé zdravotní péče, laboratoře, farmacie, zdravotnické prostředky |
| Pitná voda | Dodavatelé vody |
| Odpadní voda | Čištění odpadních vod |
| Digitální infrastruktura | IXP, DNS, registry TLD, cloud, datová centra, CDN, TSP |
| Správa ICT služeb | Poskytovatelé řízených služeb, poskytovatelé řízených bezpečnostních služeb |
| Veřejná správa | Ústřední vládní subjekty |
| Vesmír | Provozovatelé pozemní infrastruktury |
Důležité subjekty (mírnější dohled)
| Sektor | Příklady |
|---|---|
| Poštovní služby | Poštovní a kurýrní služby |
| Odpadové hospodářství | Sběr a zpracování odpadu |
| Chemikálie | Výroba a distribuce |
| Potraviny | Výroba a distribuce |
| Výroba | Zdravotnické prostředky, elektronika, stroje, vozidla |
| Digitální poskytovatelé | Online tržiště, vyhledávače, sociální sítě |
| Výzkum | Výzkumné organizace |
Velikostní prahy
NIS2 se obecně vztahuje na střední a velké subjekty:
- Střední: 50+ zaměstnanců NEBO obrat/bilance 10 milionů EUR a více
- Velké: 250+ zaměstnanců NEBO obrat 50 milionů EUR a více NEBO bilance 43 milionů EUR a více
Některé subjekty se vztahují bez ohledu na velikost (DNS, registry TLD, poskytovatelé cloudu, datová centra atd.).
Klíčové požadavky
Opatření pro řízení rizik (článek 21)[3]
Subjekty musí zavést vhodná technická, provozní a organizační opatření:
- Politiky: Analýza rizik a politiky bezpečnosti informačních systémů
- Řízení incidentů: Postupy detekce, reakce a obnovy
- Kontinuita podnikání: Zálohování, obnova po havárii, krizové řízení
- Bezpečnost dodavatelského řetězce: Bezpečnostní požadavky na dodavatele
- Bezpečnost sítě: Bezpečnost při získávání, vývoji a údržbě
- Hodnocení účinnosti: Politiky pro vyhodnocení účinnosti bezpečnostních opatření
- Základní kybernetická hygiena: Školení a programy povědomí
- Kryptografie: Politiky o kryptografických kontrolách a šifrování
- Lidské zdroje: Bezpečnost personálu a přístupová kontrola
- Vícefaktorová autentizace: MFA a bezpečné komunikační systémy
Hlásení incidentů (článek 23)[4]
| Časový rámec | Požadavek |
|---|---|
| 24 hodin | Včasné varování CSIRT/příslušnému orgánu |
| 72 hodin | Oznámení incidentu s počátečním hodnocením |
| 1 měsíc | Konečná zpráva s příčinou a opatřeními |
Významné incidenty musí být hlášeny, pokud způsobí nebo mohou způsobit vážné provozní narušení či finanční ztrátu, nebo ovlivnit jiné fyzické či právnické osoby.
Odpovědnost vedení
Řídící orgány musí:
- Schvalovat opatření pro řízení kybernetických rizik
- Dohlížet na implementaci bezpečnostních opatření
- Být osobně odpovědné za nedodržení
- Podstoupit školení v oblasti kybernetické bezpečnosti
Sankce
- Základní subjekty: Až 10 milionů EUR nebo 2 % celosvětového obratu
- Důležité subjekty: Až 7 milionů EUR nebo 1,4 % celosvětového obratu[5]
Členské státy mohou uložit další sankce včetně dočasných zákazů výkonu funkce ve vedení.
Povinnosti vývojářů a poskytovatelů ICT služeb
Pokud poskytujete ICT služby nebo produkty:
- Poskytovatelé řízených služeb: Přímo v rozsahu jako základní subjekty
- Poskytovatelé cloudu: Přímo v rozsahu jako základní subjekty
- Vývojáři softwaru: Povinnosti v dodavatelském řetězci od zákaznických subjektů
- Bezpečnostní dodavatelé: Mohou být označeni jako důležité subjekty