Ilustrační obrázek legislativa
21. 4. 2022

Směrnice NIS2 a kybernetická bezpečnost ve vodním hospodářství

Právní úprava kybernetické bezpečnosti z pohledu veřejnoprávní regulace je v České republice od 1. ledna 2015 řešena prostřednictvím zákona č. 181/2014 Sb., o kybernetické bezpečnosti. Přestože zákon od té doby prošel již celou řadou změn, jen jedna byla svým rozsahem podobná té, která čeká zákon o kybernetické bezpečnosti v následujících letech z důvodu přijetí revize směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii. Právě přijetí původního prvního znění této směrnice, pro kterou se vžilo označení „směrnice NIS“ a která nese číslo 2016/1148, si vyžádalo v roce 2017 doposud největší a nejrozsáhlejší změnu zákona o kybernetické bezpečnosti. V tuto chvíli se zdá, že přijetí revize této směrnice, již nyní označované jako „NIS2“, sebou přinese změny stejného a možná ještě většího rozsahu a půjde tak o doposud největší zásah do znění zákona o kybernetické bezpečnosti.

Na úvod je potřeba mít na paměti, že směrnice NIS2 ještě v tuto chvíli nemá schválené finální znění – legislativní proces na úrovni Evropské unie doposud nebyl ukončen a finální znění směrnice nebylo publikováno. K publikaci směrnice NIS2 by mělo dojít v druhé polovině roku 2022. Do té doby je možné vycházet jen ze zveřejněných dokumentů, které zainteresované strany ve spojení se směrnicí NIS2 publikovaly. V prvé řadě jde o již zmíněný původní návrh Evropské komise, který celý proces přijímání směrnice NIS2 na konci roku 2021 zahájil. Tento návrh byl následně zaslán Evropskému parlamentu a Evropské radě. Na základě toho je tak možné znát také jejich pohled na danou věc – a to jak v případě Evropského parlamentu, tak v případě Evropské rady. Dá se proto více než očekávat, že výsledné znění směrnice NIS2 bude odrážet vzájemný průnik těchto tří dokumentů a následnou dohodu zmíněných stran na věcech, kde k průniku nedojde. Stejně tak je již nyní možné vysledovat, v rámci kterých otázek panuje všeobecná shoda a kde se tedy nedá očekávat, že by vzájemné vyjednávání přineslo nějakou překvapující změnu. Jakmile bude směrnice NIS2 schválena a publikována, členské státy budou mít dvouletou transpoziční lhůtu k tomu, aby daly své právní řády s touto směrnicí do souladu. Tato činnost přinese jak již bylo řečeno významné změny do zákona o kybernetické bezpečnosti a vyžádá si změnu i jeho prováděcích právních předpisů a velmi pravděpodobně také některých dalších zákonů. Dovozovat tyto kroky a finální znění potřebných změn je však v tuto chvíli ještě vzdálenější než se zabývat pravděpodobným obsahem směrnice, a proto to v tomto článku ani dělat nebudeme. S tímto vědomím se nyní již můžeme na pravděpodobné změny podívat blíže.

NIS2 přináší zcela nový přístup ke stanovení povinných osob, které se jí musí v rámci členských států řídit. Pro srovnání, český zákon o kybernetické bezpečnosti byl a je postaven na dopadovém principu – povinnou osobou se stává jen ta organizace, která může v případě narušení bezpečnosti svých systémů způsobit společnosti nějakou předem definovanou škodu[1]. NIS2 tento přístup sice také používá, nicméně až jako doplňkový. Primárním principem stanovení povinných osob je kombinace poskytování dané služby (uvedené v přílohách) a velikosti organizace. Velikost organizace se má posuzovat procesem, který je na unijní úrovni znám již téměř dvacet let, protože vychází z tzv. doporučení Komise ze dne 6. května 2003, týkajícího se definice mikropodniků, malých a středních podniků. Přestože toto roztřídění organizací do čtyř kategorií „mikro“, „malý“, „střední“ a „velký“ podnik vzniklo původně pro účely veřejných podpor, stává se v poslední době na úrovni Evropské unie populárním nástrojem, jak třídit organizace do kategorií podle velikosti, a to i v těch případech, kde je význam počtu zaměstnanců nebo hospodářských ukazatelů k dané problematice diskutabilní – tak jako je to mu v případě kybernetické bezpečnosti. Tato změna povede v praxi k tomu, že dojde k násobnému nárůstu počtu povinných osob spadajících pod zákon o kybernetické bezpečnosti. V kombinaci s navrhovanou přílohou je však již nyní víceméně jisté, že pod regulaci kybernetické bezpečnosti v České republice budou spadat minimálně vodohospodářské společnosti, které naplňují definici středního nebo velkého podniku (tj. mají více než 50 zaměstnanců nebo je jejich obrat nebo souhrn aktiv větší než 10 000 000 EUR). S ohledem na další doplňková dopadová kritéria uvedená v návrhu lze také očekávat, že pokud by některý z dosavadních provozovatelů základní služby nenaplňoval svou velikostí definici středního nebo velkého podniku, dojde při použití těchto kritérií také k jeho zahrnutí do nové regulace a bude tak zachována kontinuita.

Směrnice NIS2 dále rozvádí povinnosti, které musí členský stát vůči regulovaným organizacím zavést. Jak je v čl. 20 uvedeno, jedná se především o řízení rizik, zvládání a hlášení incidentů[2], kontinuitu činností, řízení dodavatelů a další. Tyto povinnosti nejsou pro Českou republiku ničím novým, vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti, tedy ústřední prováděcí právní předpis zákona o kybernetické bezpečnosti, která stanovuje právě bezpečnostní opatření pro povinné osoby tyto požadavky již nyní bezpečně splňuje. Tyto požadavky pak z velké části splňuje dokonce také tzv. Minimální bezpečnostní standard, tedy dokument vypracovaný Národním úřadem pro kybernetickou a informační bezpečnost jako jakási jednodušší verze vyhlášky a materiál, který mohou použít neregulované subjekty pro zlepšení své kybernetické bezpečnosti. Návrh směrnice klade také velký důraz na roli vrcholového vedení organizace. Podle čl. 17 směrnice by mělo docházet k mnohem většímu zapojení vrcholového vedení organizace do řešení problematiky kybernetické bezpečnosti, protože jak se v praxi stále ještě ukazuje, vedení organizací považuje kybernetickou bezpečnost za dílčí problém, vhodný k řešení nejlépe na úrovni vedoucího IT oddělení. Z tohoto domnění je může přinejhorším vyvést jedno z nových (ale o to více sporných) ustanovení, které v případě povinných osob v tzv. režimu „essential“[3] zavádí jako krajní možnost i uložit dočasný zákaz výkonu manažerských funkcí v této organizaci jakékoli osobě, která má manažerskou odpovědnost.[4]

Poslední velkou změnou je změna přístupu k ukládání pokut za porušení zákona. Návrh směrnice opouští původní přístup a od spíše symbolických pokut přistupuje k režimu inspirovaném v Obecném nařízení o ochraně osobních údajů (tj. GDPR). Pokuty jsou tak nově stanoveny na 4 000 000 EUR nebo 2 % celkového celosvětového ročního obratu organizace v případě režimu „essential“, resp. na 2 000 000 EUR a 1 % v případě režimu „important“.

Návrh směrnice NIS2 dále obsahuje celou řadu změn, většina z nich však na rozdíl od výše uvedených neovlivní přímo regulované subjekty, resp. ty, kteří se regulovanými nově stanou. V tuto chvíli nezbývá než čekat na finální znění směrnice NIS2 a novelizaci zákona o kybernetické bezpečnosti. V této věci může také odborná veřejnost zasílat Národnímu úřadu pro kybernetickou a informační bezpečnost své podněty.

Martin Švéda
vedoucí Oddělení regulace soukromého sektoru
Národní úřad pro kybernetickou a informační bezpečnost

 


1. Srov. prováděcí právní předpisy sloužící ke stanovení povinných osob podle zákona o kybernetické bezpečnosti – nařízení vlády č. 432/2010 Sb., vyhlášku č. 437/2017 Sb. nebo vyhlášku č. 317/2014 Sb.

2. Proces hlášení incidentů je dále blíže upřesněn v čl. 20 návrhu směrnice.

3. Regulované organizace spadající pod směrnici NIS2 se dělí do dvou režimů – tzv. „essential“ a „important“, přičemž organizace v režimu „essential“ by měly mít např. přísnější bezpečnostní opatření, důkladnější dohled apod.

4. Čl. 29 odst. 5 návrhu směrnice NIS2.