NUKIB (nukib.cz)
Kriminalita a bezpečnost  |  23.10.2024 15:40:51

Prováděcí nařízení k NIS2 je tady

Dne 18. října 2024 bylo v Úředním věstníku EU publikováno finální znění prováděcího nařízení Evropské komise ke směrnici NIS2, které stanoví poskytovatelům digitálních služeb spadajícím do působnosti nového zákona o kybernetické bezpečnosti speciální pravidla pro řízení kybernetické bezpečnosti v organizaci.

Prováděcí předpis konkrétně stanoví sadu bezpečnostních opatření, která poskytovatelé digitálních služeb, mj. služeb cloud computingu, služeb vytvářejících důvěru, DNS nebo online tržišť, budou muset zavádět, a okruh kybernetických bezpečnostních incidentů, které budou muset hlásit. Tito poskytovatelé tedy nebudou zavádět bezpečnostní opatření a hlásit incidenty podle národní úpravy, ale právě podle prováděcího předpisu Komise (toto pravidlo upravuje § 18 návrhu nového zákona).

Prováděcí nařízení sice brzy vstoupí v platnost, nicméně závazným a vymahatelným se pro poskytovatele digitálních služeb stane až poté, co nabude účinnosti nový zákon o kybernetické bezpečnosti. Do té doby se prováděcím nařízením nikdo nemusí řídit. Doporučujeme však seznámit se s textem prováděcího nařízení dříve, než bude zákon přijat, neboť i v tomto případě budou mít regulované osoby povinnost uvést požadavky prováděcího nařízení do praxe ve lhůtě jednoho roku od registrace své digitální služby v Portálu NÚKIB.

Text prováděcího nařízení je dostupný zde: https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=OJ:L_202402690.

Podrobné informace k prováděcímu nařízení jsou k dispozici na Portálu NÚKIB v části věnované novému zákonu o kybernetické bezpečnosti (tematický okruh 13. Regulace poskytovatelů digitálních služeb, dostupný zde: https://portal.nukib.gov.cz/informace/legislativa/zakon-o-kyberneticke-bezpecnosti/okruh-regulace-poskytovatelu-digitalnich-sluzeb). Na Portálu NÚKIB naleznete také další důležité informace o připravované regulaci kybernetické bezpečnosti.

 

Otázky a odpovědi:


Co to je?

Evropský předpis, kterým se stanoví speciální pravidla pro zabezpečování informačních systémů u vybraných poskytovatelů regulovaných služeb – tzv. poskytovatelů digitálních služeb.

Tento předpis se uplatní namísto národních požadavků obsažených v zákoně o kybernetické bezpečnosti, avšak pouze v omezené míře a pouze vůči specifické skupině osob.


Kde to najdu?

V Úředním věstníku Evropské unie pod tímto odkazem: https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=OJ:L_202402690. V angličtině (jazyce, ve kterém bylo nařízení draftováno) je pak k dispozici zde: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202402690.


Pro koho to je?

Pro poskytovatele vybraných regulovaných služeb v odvětví Digitální infrastruktura a služby: provozovatele DNS, registry domén nejvyšší úrovně, poskytovatele služeb cloud computingu, služeb datových center, sítí pro doručování obsahu, řízených služeb, řízených bezpečnostních služeb, on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí a služeb vytvářejících důvěru.

Poskytovatelé jiných služeb se prováděcím nařízením řídit nebudou.


Co je obsahem?

Podrobnosti k bezpečnostním opatřením, která bude potřeba v organizacích poskytovatelů digitálních služeb zavádět. Prováděcí nařízení se svým charakterem podobá současné vyhlášce o kybernetické bezpečnosti nebo navrhovaným vyhláškám o bezpečnostních opatřeních – obsahuje seznam opatření, z nichž si regulovaná osoba vybírá, která jsou pro ni relevantní, přiměřená a vhodná, a která tedy zavede ve své organizaci. Obsahově jsou bezpečnostní opatření založena na mezinárodních standardech (ISO 27 001, NIST), nejedná se tedy o žádnou revoluci na poli zabezpečování informačních systémů, naopak se navazuje na praxí osvědčené postupy.

Podrobnosti k určení, kdy se incident považuje za významný. Prováděcí nařízení specifikuje incidenty, které je potřeba hlásit NÚKIB, resp. Národnímu CERT (tzv. významné incidenty). Seznam kritérií pro identifikaci významného incidentu je konečný, tzn. pokud incident nesplňuje žádné ze stanovených kritérií, není potřeba jej hlásit. Kritéria pro identifikaci významného incidentu jsou rozdělena do dvou kategorií – obecná kritéria společná pro všechny služby a speciální kritéria relevantní pro jednotlivé služby. Incident je potřeba hlásit, pokud splňuje alespoň jedno obecné kritérium nebo alespoň jedno speciální kritérium.

Způsob hlášení incidentů zůstává stejný jako pro všechny ostatní subjekty (Portál NÚKIB, termíny), mění se pouze rozsah hlášených incidentů.

Kdy to bude?

Prováděcí nařízení je publikováno a brzy nabude platnosti. Dokud však nebude přijat nový zákon o kybernetické bezpečnosti, není pro nikoho závazné.


Do kdy musí být splněno?

Lhůty pro zavádění bezpečnostních opatření, stejně jako pro hlášení incidentů, budou stejné jako pro ostatní poskytovatele regulovaných služeb. Poskytovatelé digitálních služeb tedy budou mít rok od registrace digitální služby na to, aby zavedli vhodná a přiměřená bezpečnostní opatření a aby začali hlásit významné kybernetické bezpečnostní incidenty.


Budou k tomu nějaké podpůrné materiály?

Agentura ENISA je pověřena vydat podpůrný materiál k prováděcímu nařízení. NÚKIB počítá s publikací dalších potřebných podpůrných dokumentů a s poskytováním veškeré nezbytné metodické pomoci.


Co když poskytuji i jiné než digitální služby?

Povinnost řídit se pravidly prováděcího nařízení se vztahuje výlučně k regulovaným digitálním službám, nikoli k celé organizaci nebo k dalším regulovaným službám mimo odvětví digitální infrastruktury a služeb. Pokud regulovaná osoba poskytuje více regulovaných služeb, digitální i nedigitální, ve vztahu k digitálním službám se bude řídit pravidly prováděcího nařízení, ve vztahu ke zbylým službám se pak bude řídit standardními pravidly nového zákona o kybernetické bezpečnosti a jeho vyhlášek.

Požadavky nového zákona a prováděcího nařízení se v mnohém shodují (mj. i proto, že v obou případech se vychází z mezinárodních standardů), zabezpečování různých služeb v jedné organizaci by tedy nemělo činit významnější potíže.


Najdu to někde v novém zákoně?

Fungování prováděcího nařízení v kontextu nové regulace kybernetické bezpečnosti řeší § 18 návrhu nového zákona o kybernetické bezpečnosti. Text návrhu zákona je k dispozici zde: https://www.psp.cz/sqw/text/tiskt.sqw?O=9&CT=759&CT1=0.

K článku zatím nejsou žádné komentáře.
Přidat komentář




Prezentace

16.10.2024 Aby i v zimě nohy zůstaly v teple

16.10.2024 Od tisku dopisů po komplexní CDP. Cortex je…

11.10.2024 RoboMarkets upravuje svůj evropský obchodní…

Další prezentace >>

 Okénko investora

Zpravodajství na e-mail »

  rssRSS, sdíletPřebírání zpráv
Zobrazit sloupec 
Kurzy.cz > Zprávy > Politika a události > Kriminalita a bezpečnost
středa 23.10.2024 18:21:50

Kalkulačka - Výpočet

Výpočet čisté mzdy

Důchodová kalkulačka

Přídavky na dítě

Příspěvek na bydlení

Rodičovský příspěvek

Životní minimum

Hypoteční kalkulačka

Povinné ručení

Banky a Bankomaty

Úrokové sazby, Hypotéky

Směnárny - Euro, Dolar

Práce - Volná místa

Úřad práce, Mzda, Platy

Dávky a příspěvky

Nemocenská, Porodné

Podpora v nezaměstnanosti

Důchody

Investice

Burza - ČEZ

Dluhopisy, Podílové fondy

Ekonomika - HDP, Mzdy

Kryptoměny - Bitcoin, Ethereum

Drahé kovy

Zlato, Investiční zlato, Stříbro

Ropa - PHM, Benzín, Nafta, Nafta v Evropě

Podnikání

Města a obce, PSČ

Katastr nemovitostí

Katastrální úřady

Ochranné známky

Občanský zákoník

Zákoník práce

Stavební zákon

Daně, formuláře

Další odkazy

Auto - Cena, Spolehlivost

Registr vozidel - Technický průkaz, eTechničák

Finanční katalog

Volby, Mapa webu

English version

Czech currency

Prague stock exchange

Ochrana dat, Cookies

 

Copyright © 2000 - 2024

Kurzy.cz, spol. s r.o., AliaWeb, spol. s r.o.

ISSN 1801-8688

Reklama na kurzy.cz

Kontakty pro kurzy.cz

Vyloučení odpovědnosti

Použití | RSS | HTML kódy | S