Prováděcí nařízení k NIS2 je tady
Dne 18. října 2024 bylo v Úředním věstníku EU publikováno finální znění prováděcího nařízení Evropské komise ke směrnici NIS2, které stanoví poskytovatelům digitálních služeb spadajícím do působnosti nového zákona o kybernetické bezpečnosti speciální pravidla pro řízení kybernetické bezpečnosti v organizaci.
Prováděcí předpis konkrétně stanoví sadu bezpečnostních opatření, která poskytovatelé digitálních služeb, mj. služeb cloud computingu, služeb vytvářejících důvěru, DNS nebo online tržišť, budou muset zavádět, a okruh kybernetických bezpečnostních incidentů, které budou muset hlásit. Tito poskytovatelé tedy nebudou zavádět bezpečnostní opatření a hlásit incidenty podle národní úpravy, ale právě podle prováděcího předpisu Komise (toto pravidlo upravuje § 18 návrhu nového zákona).
Prováděcí nařízení sice brzy vstoupí v platnost, nicméně závazným a vymahatelným se pro poskytovatele digitálních služeb stane až poté, co nabude účinnosti nový zákon o kybernetické bezpečnosti. Do té doby se prováděcím nařízením nikdo nemusí řídit. Doporučujeme však seznámit se s textem prováděcího nařízení dříve, než bude zákon přijat, neboť i v tomto případě budou mít regulované osoby povinnost uvést požadavky prováděcího nařízení do praxe ve lhůtě jednoho roku od registrace své digitální služby v Portálu NÚKIB.
Text prováděcího nařízení je dostupný zde: https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=OJ:L_202402690.
Podrobné informace k prováděcímu nařízení jsou k dispozici na Portálu NÚKIB v části věnované novému zákonu o kybernetické bezpečnosti (tematický okruh 13. Regulace poskytovatelů digitálních služeb, dostupný zde: https://portal.nukib.gov.cz/informace/legislativa/zakon-o-kyberneticke-bezpecnosti/okruh-regulace-poskytovatelu-digitalnich-sluzeb). Na Portálu NÚKIB naleznete také další důležité informace o připravované regulaci kybernetické bezpečnosti.
Co to je?
Evropský předpis, kterým se stanoví speciální pravidla pro zabezpečování informačních systémů u vybraných poskytovatelů regulovaných služeb – tzv. poskytovatelů digitálních služeb.
Tento předpis se uplatní namísto národních požadavků obsažených v zákoně o kybernetické bezpečnosti, avšak pouze v omezené míře a pouze vůči specifické skupině osob.
Pro koho to je?
Pro poskytovatele vybraných regulovaných služeb v odvětví Digitální infrastruktura a služby: provozovatele DNS, registry domén nejvyšší úrovně, poskytovatele služeb cloud computingu, služeb datových center, sítí pro doručování obsahu, řízených služeb, řízených bezpečnostních služeb, on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí a služeb vytvářejících důvěru.
Poskytovatelé jiných služeb se prováděcím nařízením řídit nebudou.
Co je obsahem?
Podrobnosti k bezpečnostním opatřením, která bude potřeba v organizacích poskytovatelů digitálních služeb zavádět. Prováděcí nařízení se svým charakterem podobá současné vyhlášce o kybernetické bezpečnosti nebo navrhovaným vyhláškám o bezpečnostních opatřeních – obsahuje seznam opatření, z nichž si regulovaná osoba vybírá, která jsou pro ni relevantní, přiměřená a vhodná, a která tedy zavede ve své organizaci. Obsahově jsou bezpečnostní opatření založena na mezinárodních standardech (ISO 27 001, NIST), nejedná se tedy o žádnou revoluci na poli zabezpečování informačních systémů, naopak se navazuje na praxí osvědčené postupy.
Podrobnosti k určení, kdy se incident považuje za významný. Prováděcí nařízení specifikuje incidenty, které je potřeba hlásit NÚKIB, resp. Národnímu CERT (tzv. významné incidenty). Seznam kritérií pro identifikaci významného incidentu je konečný, tzn. pokud incident nesplňuje žádné ze stanovených kritérií, není potřeba jej hlásit. Kritéria pro identifikaci významného incidentu jsou rozdělena do dvou kategorií – obecná kritéria společná pro všechny služby a speciální kritéria relevantní pro jednotlivé služby. Incident je potřeba hlásit, pokud splňuje alespoň jedno obecné kritérium nebo alespoň jedno speciální kritérium.
Způsob hlášení incidentů zůstává stejný jako pro všechny ostatní subjekty (Portál NÚKIB, termíny), mění se pouze rozsah hlášených incidentů.
Kdy to bude?
Prováděcí nařízení je publikováno a brzy nabude platnosti. Dokud však nebude přijat nový zákon o kybernetické bezpečnosti, není pro nikoho závazné.
Do kdy musí být splněno?
Lhůty pro zavádění bezpečnostních opatření, stejně jako pro hlášení incidentů, budou stejné jako pro ostatní poskytovatele regulovaných služeb. Poskytovatelé digitálních služeb tedy budou mít rok od registrace digitální služby na to, aby zavedli vhodná a přiměřená bezpečnostní opatření a aby začali hlásit významné kybernetické bezpečnostní incidenty.
Budou k tomu nějaké podpůrné materiály?
Agentura ENISA je pověřena vydat podpůrný materiál k prováděcímu nařízení. NÚKIB počítá s publikací dalších potřebných podpůrných dokumentů a s poskytováním veškeré nezbytné metodické pomoci.
Co když poskytuji i jiné než digitální služby?
Povinnost řídit se pravidly prováděcího nařízení se vztahuje výlučně k regulovaným digitálním službám, nikoli k celé organizaci nebo k dalším regulovaným službám mimo odvětví digitální infrastruktury a služeb. Pokud regulovaná osoba poskytuje více regulovaných služeb, digitální i nedigitální, ve vztahu k digitálním službám se bude řídit pravidly prováděcího nařízení, ve vztahu ke zbylým službám se pak bude řídit standardními pravidly nového zákona o kybernetické bezpečnosti a jeho vyhlášek.
Požadavky nového zákona a prováděcího nařízení se v mnohém shodují (mj. i proto, že v obou případech se vychází z mezinárodních standardů), zabezpečování různých služeb v jedné organizaci by tedy nemělo činit významnější potíže.
Najdu to někde v novém zákoně?
Fungování prováděcího nařízení v kontextu nové regulace kybernetické bezpečnosti řeší § 18 návrhu nového zákona o kybernetické bezpečnosti. Text návrhu zákona je k dispozici zde: https://www.psp.cz/sqw/text/tiskt.sqw?O=9&CT=759&CT1=0.
Poslední zprávy z rubriky Kriminalita a bezpečnost:
Přečtěte si také:
Příbuzné stránky
- Nařízení vlády o platových poměrech zaměstnanců ve veřejných službách a správě č. 341/2017 Sb.
- Jaký je dnes mezinárodní den?
- Stravenky a mzda 2020 - Jsou pro vás stravenky výhodnější než zvýšení mzdy?
- Výpočet důchodu - Jak vysoký budete mít důchod?
- Měřítko - měřítko mapy. Co znamená měřítko na mapě a kolik kilometrů v reálu je jeden centimetr na mapě
- Kryptoměny podpořilo omylem zveřejněné prezidentské prováděcí nařízení k sektoru vnímané jako pozitivní signál dalšího vývoje regulace
- Nařízení, kterým se mění nařízení (EU) 2016/1011 (BMR) a nařízení (EU) č. 648/2012 (EMIR), publikováno v Úředním věstníku EU
- Nařízení, kterým se mění nařízení o sekuritizaci a nařízení o obezřetnostních požadavcích na úvěrové instituce a investiční podniky, publikováno v Úředním věstníku EU
- Tady vznikají nařízení ovlivňující život nás všech. Jak to funguje?
- Tady vznikají nařízení ovlivňující život nás všech. Jak to funguje?
- Sezóna jahod je konečně tady! Kde už je koupíte ve vašem kraji?
- Zkazily se vám doma potraviny? Tady jsou zaručené rady, jak je ještě zachránit
Prezentace
18.11.2024 Nejlepší telefon za 2 990 Kč. Motorola má hit…
14.11.2024 Dosáhne Bitcoin 100 000 USD do konce roku?
Okénko investora
Petr Lajsek, Purple Trading
Olívia Lacenová, Wonderinterest Trading Ltd.
Jak trh reagoval na volby v USA? Historická maxima, ale i prudké propady
Radoslav Jusko, Ronda Invest
Jakub Petruška, Zlaťáky.cz
S návratem Donalda Trumpa zlato prudce klesá. Trhy zachvátila pozitivní nálada
Miroslav Novák, AKCENTA
Mgr. Timur Barotov, BHS
Jiří Cimpel, Cimpel & Partneři
Portfolio 60/40: Nadčasová strategie pro dlouhodobé investory
Ali Daylami, BITmarkets
Trump vs. Harris: komu majitelé kryptoměn coby voliči dají radši hlas?
RSS
Přebírání zpráv
