Smernica Európskeho parlamentu a rady o opatreniach na zabezpečenie vysokej úrovne bezpečnosti sietí a informačných systémov v Únii (NIS 1) prijatá v júli 2016 predstavila prvý ucelený rámec právnej úpravy pre vytvorenie jedinečného ekosystému kybernetickej bezpečnosti naprieč EÚ. Jej cieľom bolo vytvoriť spoločný, unifikovaný a tým aj efektívnejší priestor pre zabezpečenie sietí a informačných systémov, ktoré predstavujú základný predpoklad hladkého fungovania vnútorného trhu EÚ.

S odstupom času možno konštatovať, že hoci sa jej to do určitej miery rozhodne podarilo, neustály nárast počtu útokov v rámci kybernetického priestoru a s tým spojený rast nákladov na náhradu škôd spôsobených v ich dôsledku, však nevyhnutne podmienil potrebu na jej prepracovanie. Tým je práve navrhované znenie smernice Európskeho parlamentu a rady o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii a o zrušení smernice (EÚ) 2016/1148 (ďalej len „Návrh“), ktorého hlavným cieľom je najmä zvýšenie kybernetickej odolnosti.

Návrh so sebou prináša nie len precizovanie pojmov v reakcii na potreby aplikačnej praxe, ale zároveň zvyšuje požiadavky aj na preventívne opatrenia a odstraňovanie škodlivých následkov na strane zainteresovaných subjektov. Jeho aktuálne znenie vám približujeme v skratke nižšie.

Rozšírenie oblastí, na ktoré sa právna úprava EÚ vzťahuje a nové vymedzenie pojmov

Návrh pomerne výrazne rozširuje rozsah pôsobnosti existujúcej smernice NIS 1 tým, že zahŕňa povinné bezpečnostné štandardy pre ďalšie odvetvia definované ich hospodárskym a spoločenským významom alebo veľkosťou danej firmy.

V zmysle dôvodovej správy k Návrhu sa kritériá pre určenie povinných subjektov zavedené NIS 1 ukázali ako zastarané, resp. neodzrkadľujúce dostatočne skutočný význam týchto subjektov pre odvetvie, v rámci ktorého poskytujú služby alebo vykonávajú svoju činnosť. Navrhované pravidlá sa preto už nebudú aplikovať rozdielne na povinné subjekty podľa toho, či sú prevádzkovateľmi základných služieb alebo poskytovateľmi digitálnych služieb, ale podľa významu ich spoločenských a hospodárskych činností v relevantnom odvetví na vnútornom trhu.

Návrh tak okrem iného zavádza nové pojmy pre subjekty spadajúce pod jej úpravu a to v podobe kľúčových, resp. dôležitých subjektov v rámci dotknutého odvetvia uvedeného v prílohách Návrhu.

V neposlednom rade potom Návrh zo svojej pôsobnosti za určitých predpokladov vylučuje subjekty na báze ich veľkosti (v zmysle odporúčania Komisie 2003/361/ES 28 sa navrhované znenie smernice nevzťahuje na podniky, ktoré spĺňajú kritériá mikropodniku alebo malého podniku ak Návrh neurčuje inak).

Zvýšenie miery harmonizácie a vzájomnej spolupráce v oblasti výmeny informácií

Jedným z najvýznamnejších prínosov NIS 2 je nepochybne spresnenie a tým aj sprísnenie bezpečnostných požiadaviek na európskej úrovni zavedením zoznamu cielených opatrení zahŕňajúcich reakciu na výskyt incidentu a krízový manažment; riešenie identifikácie systémovej zraniteľnosti a jej oznamovanie; stanovenie zásad a postupov pre posúdenie účinnosti jednotlivých prijatých opatrení kybernetickej bezpečnosti, risk manažmentu, či zavedenej politiky pre bezpečné spracovanie kritických dát (tzv. computer hygiene).

Návrh zavádza predpoklady pre:

• Vytvorenie európskeho registra zraniteľnosti (koordinované zverejňovanie)
• Prísnejšie opatrenia dohľadu (napr. povinnosť zverejniť neplnenie kritérií v zmysle Návrhu)
• Zavedenie zoznamu nových sankcií vrátane pokút za porušenie povinností v oblasti riadenia rizík a reportingu týchto aktivít, vrátane navýšenia sankcií a možnosti uložiť pokutu opakovane, resp. pravidelne (až do 10 000 000 EUR alebo najviac 2 % celkového svetového ročného obratu podniku, ku ktorému kľúčový alebo dôležitý subjekt patrí, v predchádzajúcom účtovnom období, podľa toho, ktorá suma je vyššia).

Kreovanie Európskej siete styčných organizácií pre kybernetické krízy

Návrh predstavil predpoklady pre EÚ rámec pre kreovanie siete styčných organizácií pre kybernetické krízové situácie tzv. EU CyCLONe, ktorá v spolupráci s národnými jednotkami CSIRT (sieťou národných jednotiek pre riešenie počítačových bezpečnostných incidentov kreovaných NIS – posilnenie právomocí) prispeje nie len k pravidelnej výmene informácií medzi členskými štátmi a inštitúciami EÚ, ale najme k podpore koordinovaného riadenia incidentov a kríz veľkého rozsahu v oblasti kybernetickej bezpečnosti či vytvoreniu spoločného situačného povedomia o relevantných kyberneticko-bezpečnostných udalostiach.

Zvýšené nároky na konateľov

V zmysle čl. 17. Návrhu sú členské štáty povinné zabezpečiť aby riadiace orgány subjektov spadajúcich do rámca pôsobnosti smernice v danom štáte zodpovedali za:

• schválenie systému riadenia kyberneticko-bezpečnostných rizík vytvoreným v súlade s požiadavkami smernice,
• dohľad nad jeho dodržiavaním,
• nedodržanie povinností osobne.

Na tento účel budú členovia riadiacich orgánov povinní absolvovať osobitnú odbornú prípravu s cieľom získať dostatočné znalosti a zručnosti aby správne aplikovali a porozumeli významu a postupom v rámci systému riadenia kyberneticko-bezpečnostných rizík v organizácii a ich vplyvu na jej činnosť.

Koho sa navrhovaná úprava (NIS 2) dotkne najviac?

NIS 2 rozširuje pôsobnosť európskej úpravy nie len subjekty podnikajúce v oblastiach energetiky, dopravy, bankovníctva a finančných trhov, zdravotníctva, vodohospodárstva, či digitálnej infraštruktúry, ale tiež poskytovateľov verejných komunikačných sietí, služieb cloud computingu, poskytovateľov služieb sociálnych sietí a dátových centier, poštových a kuriérskych služieb, subjektov pôsobiacich vo výrobe farmaceutických výrobkov, odpadovom hospodárstve, poskytovatľov služieb verejnej siete elektronických komunikácií, potravinárskych podnikov a mnoho ďalších.

Radi by ste sa dozvedeli viac o Návrhu a jeho uplatnení v praxi? Naši advokáti z advokátskej kancelárie Accace Legal vám radi poradia.