22.02.2024 10:09
Jaké změny nás čekají v souvislosti s aplikací nové směrnice o kybernetické bezpečnosti NIS2? Na to se ptala redakce Retail News advokáta JUDr. Adama Felixe, LL.M., Ph.D., odborníka na kybernetickou bezpečnost a člena Felix a spol. advokátní kancelář, s.r.o.:
S vývojem digitálního prostředí se mění i výzvy a hrozby ze strany kybernetických útoků. Evropská unie toto dynamické prostředí dlouhodobě sleduje a vývoj reflektuje nastavením odpovídajícího legislativního rámce, avšak do popředí se tato problematika dostala až nyní, kdy v reakci na zvýšenou četnost kybernetických hrozeb a provedených útoků reagovala zavedením nové generace směrnice o kybernetické bezpečnosti NIS2. Abychom osvětlili složitosti a důsledky aplikace této směrnice, včetně podrobností o návrhu nového zákona o kybernetické bezpečnosti v ČR, oslovili jsme JUDr. Adama Felixe, LL.M., Ph.D., odborníka na kybernetickou bezpečnost a advokáta Felix a spol. advokátní kanceláře, s.r.o. v Praze.
Pane doktore, co je směrnice NIS2? Proč byla přijata a kdy můžeme očekávat její dopady?
Směrnice NIS2 je přirozenou evolucí dosavadního právního rámce, který má za cíl posílit kybernetickou odolnost Evropské unie a zajistit tak její prosperitu napříč celým jejím propojeným trhem. Její obsah není ničím překvapivým. Co může být pro někoho překvapivé je však rychlost, s jakou byla tato směrnice, včetně směrnic a nařízení s ní souvisejících, vypracována a přijata, resp. souběh účinnosti několika zásadních regulatorních rámců týkajících se informačních technologií v rámci EU. Vše však zapadá do politického programu „Digitální dekáda 2030“, který je rozhodnutím Evropského parlamentu a Rady.
Připravované změny regulace kybernetické bezpečnosti budou u nás pravděpodobně účinné koncem roku 2024, jelikož transpoziční lhůta dle směrnice NIS2 požaduje účinnost nového zákona k 18. říjnu 2024. Termíny pro plnění dalších povinností pak budou záležet na finálním datu účinnosti zákona a příslušných vyhlášek.
Co to tedy je NIS2? Prosím můžete ji popsat pro lajka stručně a výstižně?
NIS2 je anglická zkratka pro směrnici o síťových a informačních systémech 2 – Network and Information Systems Directive. Představuje aktualizovaný přístup EU k regulaci kybernetické bezpečnosti a vychází ze základů položených původní směrnicí NIS z roku 2016, jde tedy o v pořadí druhou směrnici regulující zabezpečení síťových a informačních systémů.
Mohl byste uvést přehled klíčových změn, které NIS2 zavádí oproti své předchůdkyni, původní směrnici NIS?
Jednou z nejvýznamnějších změn je rozšíření okruhu subjektů, na které dopadá. Změny se také týkají vyšších nároků na zabezpečení dodavatelského řetězce povinných subjektů. Prováděcí legislativa též počítá s povinnou lokalizací dat pouze na území ČR, příp. EU. Tato povinnost je však již podnikům známa od zavedení GDPR. Též se počítá s větším zapojením a odpovědností statutárních orgánů povinných subjektů v rámci IT bezpečnosti jimi řízených podniků. Regulované služby budou zahrnovat mimo jiné výrobní průmysl, potravinářský průmysl, chemický průmysl, vodní a odpadové hospodářství, drážní, vodní a silniční dopravu, digitální infrastrukturu a služby, finanční trhy, zdravotnictví, vědu, výzkum a vzdělávání, poštovní služby a energetiku. Celkový výčet lze dohledat v návrhu vyhlášky o regulovaných službách. Je však třeba si uvědomit, že zvýšené požadavky nebudou kladeny pouze na subjekty přímo podřízené směrnici a prováděcí legislativě. Přeneseně se uplatní i na dodavatele povinných subjektů.
Co je cílem této nové směrnice?
Jak už bylo řečeno, NIS2 je jen jednou z částí strategického záměru Evropské unie a jejích členských států posílit kybernetickou odolnost subjektů působících na společném evropském trhu a zajistit jejich prosperitu, a tím pádem i prosperitu celé EU, do budoucna. Na NIS2 je tedy nutno pohlížet i z pohledu ostatních předpisů, které jsou součástí již zmíněného programu „Digitální dekáda 2030“ – například směrnice o ochraně databází, ta je mimochodem již z roku 1996, Akt o správě dat a navazující Akt o Datech – ten se dle mého názoru podnikatelů v retailu dotýká mnohem více než NIS2. Už jen proto, že se jedná o přímo aplikovatelné nařízení. Stejně tak jako Akt (nařízení) o digitálních službách. Souhrnně lze však říci, že konečným cílem je mít zabezpečenou a udržitelnou digitální infrastrukturu, digitalizované veřejné služby a digitálně transformované podniky a v neposlední řadě informačně vzdělanou veřejnost, která má moc nad svými daty a informacemi.
Je však potřeba zdůraznit, že cíle a důsledky směrnice jsou věc jedna, věc druhá je transpozice jednotlivých ustanovení směrnice do právního řádu členských států. Směrnice je závazná pouze pro členské státy, ty mají povinnost požadavky na ně kladené přenést na povinné subjekty vlastním zákonem. Tedy z našeho pohledu je stěžejní, co bude obsahovat nový zákon o kybernetické bezpečnosti, který je zatím ve fázi návrhu. Ze zkušenosti víme, že český zákonodárce má tendence požadavky Evropské unie zpřísňovat, a to někdy zásadně. NIS2 nicméně k takovému postupu v tomto případě členské státy opravňuje v čl. 5.
Je však třeba vyzdvihnout, že příslušné návrhy jsou již zpracovány a legislativní proces byl zahájen. Snad se tedy nebude opakovat fiasko jako u GDPR, kdy povinné subjekty neznaly ještě skoro dva roky po účinnosti obecného nařízení své povinnosti, které měly být upraveny vnitrostátní legislativou.
K této otázce pak závěrem musím ještě dodat, že stěžejním záměrem NIS2 je posílení mezistátní spolupráce mezi členskými státy a jejich dozorovými orgány. Kybernetický prostor nemá hranic, proto je stěžejní odstranit jakékoli překážky pro flexibilní reakci na potenciální hrozbu či probíhající bezpečností incident.
Jakým způsobem NIS2 podporuje právě zmíněnou spolupráci a kooperaci mezi členskými státy, zejména při řešení přeshraničních kybernetických hrozeb?
Jak již bylo řečeno, evropský zákonodárce si uvědomuje, že kybernetické hrozby mají ze své podstaty přeshraniční charakter. Směrnice klade velký důraz na spolupráci tím, že ukládá členským státům zřízení týmů pro reakci na počítačové bezpečnostní incidenty, tzv. CSIRT a podporuje sdílení osvědčených postupů mezi členskými státy. Přičemž pokud některý z povinných subjektů bude cílem kybernetického útoku a splní svou ohlašovací povinnost, budou tyto specializované týmy odborníků nasazeny k odvrácení možných škod a případně k poskytnutí pomoci zasaženému subjektu. Existence takového týmu v každém z členských států pak zajistí, že bude adekvátně reagováno tam, kde je to třeba.
Jak se NIS2 dotýká běžného podnikatele?
Předně si musí vyhodnotit, zda se na něj NIS2, resp. zákon o kybernetické bezpečnosti vztahuje přímo. Pokud se na něj vztahoval původní zákon i před účinností NIS2, zcela jistě se vztahuje na něj i nadále a své povinnosti zná. Pro představu se lze podívat na návrh prováděcí vyhlášky k projednávanému návrhu nového zákona o kybernetické bezpečnosti. Avšak nelze jednoznačně říct, že pokud se podnikatel nenajde ani v jedné z vyhláškou vymezených kategorií, tak se ho NIS2 netýká. Musí též vyhodnotit, zda není dodavatelem subjektu, na který se směrnice vztahuje. To je vyjádření nového principu zajištění bezpečnosti dodavatelského řetězce. Pokud sezná, že je součásti dodavatelského řetězce subjektu, na který se NIS2 přímo vztahuje prostřednictvím národní legislativy, pak musí učinit vhodná bezpečnostní opatření tak, aby byl vyhodnocen jako spolehlivý dodavatel svým odběratelem.
Co tedy takový podnikatel musí učinit, aby byl vyhodnocen jako spolehlivý dodavatel?
U podniků, které splňují nároky normy ISO 27000, můžeme s vysokou mírou pravděpodobnosti konstatovat, že jsou spolehlivými dodavateli. Konkrétní požadavky však musí vycházet ze smluvních podmínek, kterými má dle NIS2 určit základní požadavky na zajištění bezpečnosti a spolehlivosti odběratel, který je subjektem povinným dle NIS2 a národní legislativy. Jde tedy o dialog mezi odběratelem a dodavatelem. Obecně přijímaným základem jsou opatření vycházející z metodických pokynů NÚKIB, zejména pak z jím určených nezávazných Minimálních bezpečnostních standardů. Ty nabízí zjednodušené principy, postupy a doporučení v oblasti kybernetické bezpečnosti pro organizace, které nespadají pod regulaci zákona o kybernetické bezpečnosti. Tento dokument je volně ke stažení na stránkách úřadu.
IT zabezpečení je nákladná věc, to je obecně známo. Jaké investice si, dle Vašeho názoru, vyžádá implementace alespoň zmíněných Minimálních bezpečnostních standardů?
S oblibou říkám, že ten, komu nebyla lhostejná kybernetická odolnost jeho podnikání i před účinností směrnice NIS2, nebude mít příliš velký problém se přizpůsobit aktualizovanému právnímu rámci a náklady budou minimální – samozřejmě pokud se jeho odpovědný přístup projevil i v nahrazování zastaralých technologií. Požadavky NIS2 jsou z velké části organizační a v oblasti odpovědné podnikové governance. NIS2 je založen a na proaktivním přístupu průběžného vyhodnocování bezpečnostních rizik a jejich prevenci, provádění bezpečnostních auditů, školení zaměstnanců, správném nastavení politik, postupů kontroly přístupů a správy IT aktiv.
Kdo však na kybernetickou bezpečnost nedbal do dneška, ten bude samozřejmě nemile překvapen výší nutné investice. Už jen nahrazení zastaralých technologií a fyzických komponentů bude značný výdaj. Nemluvě o jejich instalaci, integraci a migraci potřebných dat. U takových podnikatelů však často slýchávám, že prozatím neměli potřebu nic upravovat, že nikdy nebyli cílem kybernetického útoku, nebo jím nikdy nebyli ohroženi. Na to vždy odpovídám, že v tom případě nemají dostatečně ošetřenou detekci napadení systémů, protože v dnešní době je pojmově vyloučeno, že by, pokud jsou připojeni k vnějšímu světu prostřednictvím internetu, nebyli nikdy terčem kybernetického útoku, nebo alespoň pokusu o něj.
Na závěr, jak v celku hodnotíte novou směrnici NIS?
Pozitivně, nicméně současný rozruch okolo směrnice vnímám jako zbytečnou bouři ve sklenici vody. Nejedná se o nic přelomového. Z mého pohledu jde o přirozenou evoluci právní úpravy. Na odpovídajícím zabezpečení informačních systémů by nám mělo záležet všem. Vždyť veškerá data a informace o nás samých jsou dnes již z 99 % v elektronických databázích.