Input:

Nová právní úprava v oblasti kybernetické bezpečnosti Garance

20.9.2022, , Zdroj: Verlag Dashöfer

1.198
Nová právní úprava v oblasti kybernetické bezpečnosti

Mgr. Mgr. Radana Burešová

V současné době se stále větší část lidské komunikace přenáší do on-line prostředí, přičemž tento trend ještě posílila pandemie onemocnění COVID-19 a opatření k jejímu zamezení. Kybernetická bezpečnost je však stále více ohrožována mj. v důsledku napjaté mezinárodní situace, a to zvláště prostřednictvím prostředků tzv. hybridního boje.

Již v minulosti proto Evropská unie schválila směrnici Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (dále jen "směrnice NIS"), která byla do českého práva provedena zákonem č. 181/2014 Sb., o kybernetické bezpečnosti.

Technický pokrok spolu s vlivy uvedenými výše si však vynutil novou právní úpravu. V současné době se proto pracuje na návrhu nové směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (dále jen "návrh směrnice NIS 2" a "směrnice NIS 2"), která má nahradit stávající směrnici NIS.

Aby se požadavky vyplývající z budoucí směrnice NIS 2 staly součástí českého právního řádu, bude nejprve nezbytná aktualizace zákona o kybernetické bezpečnosti, popř. dalších právních předpisů. Návrh směrnice NIS 2 aktuálně předpokládá, že ji členské státy budou muset provést do svého práva nejpozději do 18 měsíců poté, co směrnice NIS 2 nabude platnosti. Předpokládá se, že se tak stane ve 4. čtvrtletí 2022 a do práva členských států tedy bude směrnice NIS 2 provedena do roku 2024.

Ačkoli doposud není zcela jisté, jak bude vypadat konečná právní úprava v českém zákoně, je namístě seznámit se se základními principy nové úpravy a připravit se na její účinnost.

Hlavním cílem nové směrnice má být zajištění odolnosti subjektů, které jsou zásadní pro fungování společnosti. Toho má být dosaženo mimo jiné tím, že bude značně rozšířen okruh povinných subjektů, které budou muset plnit povinnosti v oblasti kybernetické bezpečnosti.

Zároveň probíhají práce na dalších předpisech, jejichž cílem je zajištění odolnosti a na které směrnice NIS 2 bude odkazovat. Jedná se zejména o:

a) nařízení o digitální provozní odolnosti (tzv. nařízení DORA); předmětem právní úpravy nařízení DORA budou jednotné požadavky na bezpečnost sítí a informačních systémů subjektů působících ve finančním sektoru i kritických třetích stran, které jim poskytují služby související s informačními a komunikačními technologiemi, jako jsou cloudové platformy nebo služby analýzy dat;

b) směrnici o posílení odolnosti kritických subjektů (tzv. směrnice CER), která má nahradit dosavadní směrnici upravující tuto oblast.

Povinné subjekty

Doposud se otázkami kybernetické bezpečnosti musely zabývat tzv. základní subjekty, tedy subjekty činné v oblasti energetiky, dopravy, bankovnictví, infrastruktury finančních trhů, zdravotnictví, vodního hospodářství (zejména zásobování pitnou vodou) a v našem případě i chemického průmyslu, a dále tzv. digitální subjekty působící v oblasti digitální infrastruktury.

Podle návrhu směrnice NIS 2 má být okruh povinných subjektů jednak podstatně rozšířen (předpokládá se, že nově bude v ČR cca 6 tisíc povinných subjektů) a jednak tyto subjekty mají být nově rozděleny do dvou skupin – na základní subjekty, k nimž kromě výše uvedených přibude i veřejná správa a subjekty působící v oblasti využívání vesmíru. Do druhé, zcela nové, skupiny tzv. důležitých (popř. významných) subjektů budou patřit mj. poštovní a kurýrní služby, výroba, produkce a distribuce chemických látek, výroba, produkce a distribuce potravin, výrobci výslovně uvedených výrobků a digitální poskytovatelé.

Mimoto dojde k rozšíření okruhu subjektů spadajících do již existujících kategorií povinných subjektů. Například v oblasti vodárenství to mimo dodavatelů pitné vody budou i subjekty působící v oblasti odpadového hospodářství nebo v oblasti energetiky i subjekty provozující dálkové vytápění, značné množství subjektů přibyde i ve zdravotnictví.

Přesná specifikace dotčených subjektů vyplývá z návrhu příloh směrnice NIS 2 (tučně jsou vyznačeny nové povinné subjekty):

Základní subjekty

Odvětví Pododvětví Druh subjektu
1. Energetika a) elektřina
  • elektroenergetické podniky ve smyslu čl. 2 bodu 57 směrnice (EU) 2019/944, které zastávají funkci "dodávky" ve smyslu čl. 2 bodu 12 uvedené směrnice

   
  • provozovatelé distribuční soustavy ve smyslu čl. 2 bodu 29 směrnice (EU) 2019/944

   
  • provozovatelé přenosové soustavy ve smyslu čl. 2 bodu 35 směrnice (EU) 2019/944

   
  • výrobci ve smyslu čl. 2 bodu 38 směrnice (EU) 2019/944

   
  • nominovaní organizátoři trhu s elektřinou ve smyslu čl. 2 bodu 8 nařízení (EU) 2019/943

   
  • účastníci trhu s elektřinou ve smyslu čl. 2 bodu 25 nařízení (EU) 2019/943, kteří poskytují služby agregace, odezvy strany poptávky nebo ukládání energie ve smyslu čl. 2 bodů 18, 20 a 59 směrnice (EU) 2019/944

  b) dálkové vytápění a chlazení
  • dálkové vytápění nebo dálkové chlazení ve smyslu čl. 2 bodu 19 směrnice (EU) 2018/2001 o podpoře využívání energie z obnovitelných zdrojů

  c) ropa
  • provozovatelé ropovodů

   
  • provozovatelé zařízení na těžbu, rafinaci a zpracování ropy a skladovacích a přenosových zařízení

   
  • ústřední správci zásob ropy ve smyslu čl. 2 písm. f) směrnice Rady 2009/119/ES

  d) zemní plyn
  • dodavatelské podniky ve smyslu čl. 2 bodu 8 směrnice 2009/73/ES

   
  • provozovatelé distribuční soustavy ve smyslu čl. 2 bodu 6 směrnice 2009/73/ES

   
  • provozovatelé přepravní soustavy ve smyslu čl. 2 bodu 4 směrnice 2009/73/ES

   
  • provozovatelé skladovacího zařízení ve smyslu čl. 2 bodu 10 směrnice 2009/73/ES

   
  • provozovatelé zařízení LNG ve smyslu čl. 2 bodu 12 směrnice 2009/73/ES

   
  • plynárenské podniky ve smyslu čl. 2 bodu 1 směrnice 2009/73/ES

   
  • provozovatelé zařízení na rafinaci a zpracování zemního plynu

  e) vodík
  • provozovatelé výroby, skladování a přepravy vodíku

2. Doprava a) letecká
  • letečtí dopravci ve smyslu čl. 3 bodu 4 nařízení (ES) č. 300/2008

   
  • řídící orgány letiště ve smyslu čl. 2 bodu 2 směrnice 2009/12/ES, letiště ve smyslu čl. 2 bodu 1 uvedené směrnice, včetně hlavních letišť uvedených v příloze II, části 2 nařízení (EU) č. 1315/2013; a subjekty provozující pomocná zařízení v rámci letišť

   
  • provozovatelé kontroly řízení provozu poskytující služby řízení letového provozu ve smyslu čl. 2 bodu 1 nařízení (ES) č. 549/2004

  b) železniční
  • provozovatelé infrastruktury ve smyslu čl. 3 bodu 2 směrnice 2012/34/EU

   
  • železniční podniky ve smyslu čl. 3 bodu 1 směrnice 2012/34/EU, včetně provozovatelů zařízení služeb ve smyslu čl. 3 bodu 12 směrnice 2012/34/EU

  c) vodní
  • společnosti vnitrozemské, námořní a pobřežní osobní a nákladní vodní dopravy, jak jsou vymezeny pro námořní dopravu v příloze I nařízení (ES) č. 725/2004, kromě jednotlivých plavidel provozovaných těmito podniky

   
  • řídící orgány přístavů ve smyslu čl. 3 bodu 1 směrnice 2005/65/ES, včetně jejich přístavních zařízení ve smyslu čl. 2 bodu 11 nařízení (ES) č. 725/2004; a subjekty provozující díla a zařízení v rámci přístavů

   
  • provozovatelé služeb lodní dopravě ve smyslu čl. 3 písm. o) směrnice 2002/59/ES

  d) silniční
  • silniční orgány ve smyslu čl. 2 bodu 12 nařízení Komise v přenesené pravomoci (EU) 2015/962 odpovědné za kontrolu řízení provozu

   
  • provozovatelé inteligentních dopravních systémů ve smyslu čl. 4 bodu 1 směrnice 2010/40/EU

3. Bankovnictví  
  • úvěrové instituce ve smyslu čl. 4 bodu 1 nařízení (EU) č. 575/2013

4. Infrastruktura finančních trhů  
  • provozovatelé obchodních systémů ve smyslu čl. 4 bodu 24 směrnice 2014/65/EU

   
  • ústřední protistrany ve smyslu čl. 2 bodu 1 nařízení (EU) č. 648/2012

5. Zdravotnictví  
  • poskytovatelé zdravotní péče ve smyslu čl. 3 písm. g) směrnice 2011/24/EU

   
  • referenční laboratoře EU ve smyslu článku 15 nařízení o vážných přeshraničních zdravotních hrozbách

   
  • subjekty provádějící výzkum a vývoj týkající se léčivých přípravků ve smyslu čl. 1 bodu 2 směrnice 2001/83/ES

  • subjekty vyrábějící základní farmaceutické výrobky a farmaceutické přípravky ve smyslu sekce C oddílu 21 klasifikace NACE Rev. 2

  • subjekty vyrábějící zdravotnické prostředky považované za kritické v případě ohrožení veřejného zdraví (uvedené na "seznamu kritických zdravotnických prostředků při mimořádné situaci v oblasti veřejného zdraví") ve smyslu článku 20 nařízení XXXX 

6. Pitná voda  
  • dodavatelé a distributoři vody určené k lidské spotřebě ve smyslu čl. 2 bodu 1 písm. a) směrnice Rady 98/83/ES, avšak kromě distributorů, pro něž je distribuce vody určené k lidské spotřebě pouze částí jejich obecné činnosti spočívající v distribuci komodit a zboží, která není považována za základní nebo důležitou službu

7. Odpadní voda  
  • podniky zajišťující odvádění, vypouštění nebo čištění městských odpadních vod, splašků a průmyslových odpadních vod ve smyslu čl. 2 bodů 1 až 3 směrnice Rady 91/271/EHS

8. Digitální infrastruktura  
  • poskytovatelé výměnných uzlů internetu

   
  • poskytovatelé služeb systému doménových jmen (DNS)

   
  • registry internetových domén nejvyšší úrovně (TLD)

   
  • poskytovatelé služeb cloud computingu

   
  • poskytovatelé služeb datových center

   
  • poskytovatelé sítí pro doručování obsahu

   
  • poskytovatelé služeb vytvářejících důvěru ve smyslu čl. 3 bodu 19 nařízení (EU) č. 910/2014

   
  • poskytovatelé veřejných sítí elektronických komunikací ve smyslu čl. 2 bodu 8 směrnice (EU) 2018/1972 nebo poskytovatelé služeb elektronických komunikací ve smyslu čl. 2 bodu 4 směrnice (EU) 2018/1972, jsou-li jejich služby veřejně dostupné

9. Veřejná správa  
  • ústřední subjekty veřejné správy

   
  • subjekty veřejné správy územních jednotek úrovně NUTS 1 uvedených na seznamu v příloze I nařízení (ES) č. 1059/2003

   
  • subjekty veřejné správy územních jednotek úrovně NUTS 2 uvedených na seznamu v příloze I nařízení (ES) č. 1059/2003

10. Vesmír  
  • provozovatelé pozemních infrastruktur vlastněných, spravovaných a provozovaných členskými státy nebo soukromými subjekty a podporujících poskytování služeb využívajících kosmického prostoru, s výjimkou poskytovatelů veřejných sítí elektronických komunikací ve smyslu čl. 2 bodu 8 směrnice (EU) 2018/1972

Důležité subjekty (všechny tyto subjekty jsou "nové"):

Odvětví Pododvětví Druh subjektu
1. Poštovní a kurýrní služby  
  • poskytovatelé poštovních služeb ve smyslu čl. 2 bodu 1 směrnice 97/67/ES a poskytovatelé kurýrních služeb

2. Nakládání s odpady  
  • podniky provádějící nakládání s odpady ve smyslu čl. 3 bodu 9 směrnice 2008/98/ES, avšak s výjimkou podniků, pro které nakládání s odpady nepředstavuje hlavní hospodářskou činnost

3. Výroba, produkce a distribuce chemických látek  
  • podniky provádějící výrobu a distribuci látek a předmětů ve smyslu čl. 3 bodů 4, 9 a 14 nařízení (ES) č. 1907/2006

4. Výroba, zpracování a distribuce potravin  
  • potravinářské podniky ve smyslu čl. 3 bodu 2 nařízení (ES) č. 178/2002

5. Výroba a) výroba zdravotnických prostředků a diagnostických zdravotnických prostředků in vitro
  • subjekty vyrábějící zdravotnické prostředky ve smyslu čl. 2 bodu 1 nařízení (EU) 2017/745 a subjekty vyrábějící diagnostické zdravotnické prostředky in vitro ve smyslu čl. 2 bodu 2 nařízení (EU) 2017/746, s výjimkou subjektů vyrábějících zdravotnické prostředky uvedených v příloze 1 bodu 5

  b) výroba počítačů, elektronických a optických přístrojů a zařízení
  • podniky vykonávající kteroukoliv z hospodářských činností ve smyslu sekce C oddílu 26 klasifikace NACE Rev. 2

  c) výroba elektrických zařízení
  • podniky vykonávající kteroukoliv z hospodářských činností ve smyslu sekce C oddílu 27 klasifikace NACE Rev. 2

  d) výroba strojů a zařízení j. n.
  • podniky vykonávající kteroukoliv z hospodářských činností ve smyslu sekce C oddílu 28 klasifikace NACE Rev. 2

  e) výroba motorových vozidel, přívěsů a návěsů
  • podniky vykonávající kteroukoliv z hospodářských činností ve smyslu sekce C oddílu 29 klasifikace NACE Rev. 2

  f) výroba ostatních dopravních prostředků a zařízení
  • podniky vykonávající kteroukoliv z hospodářských činností ve smyslu sekce C oddílu 30 klasifikace NACE Rev. 2

6. Digitální poskytovatelé  
  • poskytovatelé on-line tržišť

   
  • poskytovatelé internetových vyhledávačů

   
  • poskytovatelé platforem služeb sociálních sítí

Povinným subjektem však automaticky nebude každý subjekt působící v dané oblasti. V zásadě by se totiž mělo jednat o střední a velké podniky, tj. podniky, které mají více než 50 zaměstnanců a/nebo jejichž roční obrat přesahuje 10 mil. euro. Nicméně povinným subjektem se bude moci stát i podnik, který má méně zaměstnanců nebo menší obrat, pokud spadá do některé z níže uvedených kategorií:

1. veřejné sítě elektronických komunikací nebo s veřejně dostupnými službami elektronických komunikací uvedenými v bodě 8 přílohy I směrnice NIS 2;

2. poskytovatelé služeb vytvářejících důvěru uvedení v bodě 8 přílohy I směrnice NIS 2;

3. poskytovatelé služeb registrů internetových domén nejvyšší úrovně a systémy doménových jmen uvedení v bodě 8 přílohy I směrnice NIS 2;

4. subjekty, které jsou orgánem veřejné správy podle definice uvedené v čl. 4 bodě 23 směrnice NIS 2;

5. subjekty, které jsou výhradním dodavatelem služeb v daném státě;

6. pokud by možné narušení služby poskytované tímto subjektem mohlo mít vliv na veřejný pořádek, veřejnou bezpečnost nebo ochranu zdraví;

7. pokud by možné narušení služby poskytované tímto subjektem mohlo vyvolat systémová rizika,