NIS 2 pro řídicí orgán za pět minut
NIS 2 není téma IT. Článek 20 směrnice (EU) 2022/2555 klade povinnost v oblasti kybernetické bezpečnosti na řídicí orgán každého zásadně významného a významného subjektu, jmenovitě. Tato stránka je krátkou verzí, kterou jednatel nebo člen představenstva potřebuje před pondělním ránem.
Proč to je na vašem stole
Pokud sedíte v řídicím orgánu společnosti, kterou NIS 2 pokrývá, článek 20 vás jmenuje. Ne vedoucího IT, ne CISO, ne externího poskytovatele služeb. Směrnice vede čáru od povinností v oblasti kybernetické bezpečnosti v článku 21 přímo k lidem, kteří za společnost podepisují.
Z toho plynou tři věci. Řídicí orgán musí schválit opatření řízení rizik, která společnost zavádí. Musí dohlížet na to, že jsou tato opatření skutečně zaváděna. A jeho členové sami musí projít školením, aby uměli číst to, co schvalují. Směrnice říká všechny tři.
Německo vkládá stejné pravidlo do vnitrostátního práva prostřednictvím § 38 BSIG, který stejné tři povinnosti vyjmenovává jednu po druhé a přidává doložku o osobní odpovědnosti. Hodiny pro to všechno běží od transpoziční lhůty směrnice 17. října 2024.
Článek 20 odst. 1 směrnice NIS 2 (2022/2555)
Členské státy zajistí, aby řídicí orgány zásadně významných a významných subjektů schvalovaly opatření k řízení rizik v oblasti kybernetické bezpečnosti přijatá těmito subjekty za účelem dosažení souladu s článkem 21, dohlížely na jejich zavádění a mohly být činěny odpovědnými za porušení tohoto článku ze strany subjektů.
Článek 20 je článkem směrnice o správě a řízení. Odstavec 1 stanoví tři povinnosti řídicího orgánu: schválit, dohlížet, může být činěn odpovědným. Odstavec 2 přidává povinnost školení pro samotný řídicí orgán a žádá subjekt, aby nabízel pravidelné školení všem zaměstnancům.
CIR (EU) 2024/2690, příloha § 1.1
Politika bezpečnosti sítí a informačních systémů stanoví přístup příslušných subjektů k řízení bezpečnosti jejich sítí a informačních systémů. Rámec řízení rizik uvedený v bodě 2.1 identifikuje rizika pro bezpečnost sítí a informačních systémů a zajišťuje jejich řízení.
Prováděcí nařízení Komise neprovádí samotný článek 20. Provádí opatření v článku 21, která řídicí orgán musí schválit podle článku 20 odst. 1. § 1 je zastřešující politika, § 2 rámec řízení rizik. Pro poskytovatele DNS, provozovatele cloudů a datových center, MSP a ostatní sektory jmenované v příloze CIR je to to, co řídicí orgán schvaluje.
§ 38 BSIG (Německo)
Die Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger Einrichtungen haben die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen.
Německo vkládá článek 20 odst. 1 do vnitrostátního práva prostřednictvím § 38 BSIG a jmenuje adresáta výslovně jako Geschäftsleiter, fyzické osoby, které subjekt řídí. § 38 odst. 2 dodává, že členové řídicího orgánu odpovídají subjektu za porušení těchto povinností. § 38 odst. 3 přenáší povinnost školení. Ostatní členské státy mají paralelní transpoziční zákony (Cyberbeveiligingswet v NL, NISG v AT, NIS2-Wet v BE, zákon č. 264/2025 Sb. v CZ).
Potvrďte, zda se směrnice uplatní
NIS 2 se uplatní, pokud subjekt sedí v jednom ze sektorů jmenovaných v příloze I nebo příloze II a splňuje prahovou hodnotu velikosti (střední podnik, jak je definován v doporučení 2003/361/ES, tedy 50 zaměstnanců nebo více než 10 milionů EUR obratu). Hrstka typů subjektů je pokryta bez ohledu na velikost: kvalifikovaní poskytovatelé služeb vytvářejících důvěru, registry jmen domén nejvyšší úrovně, poskytovatelé služeb DNS, veřejná správa, výhradní poskytovatelé v členském státě. První úlohou řídicího orgánu je vědět, který z těchto případů se uplatní.
Schválit, dohlížet, školit
Článek 20 odst. 1 dává řídicímu orgánu dvě provozní povinnosti: schválit opatření řízení rizik v oblasti kybernetické bezpečnosti, která subjekt zavádí podle článku 21, a dohlížet na jejich zavádění. Článek 20 odst. 2 přidává třetí: projít sami školením a zajistit, aby subjekt nabízel pravidelné školení zaměstnancům. Všechny tři povinnosti jsou jmenovány na řídicím orgánu. Žádná z nich nesedí u vedoucího IT.
Hodiny běží od 17. října 2024
Článek 41 NIS 2 stanovil 17. říjen 2024 jako datum, do kterého musely členské státy směrnici transponovat. Od tohoto data se povinnosti v článcích 20, 21 a 23 vztahují na subjekty v působnosti. Vnitrostátní vymáhání běží na vnitrostátních hodinách (německý NIS2UmsuCG je opožděn, ale povinnost na úrovni EU na vnitrostátní zákon nečeká). Provozovatelé považují říjen 2024 za provozní startovní čáru.
Odpovědnost leží na fyzické osobě
Článek 20 odst. 1 říká, že řídicí orgán 'může být činěn odpovědným' za porušení článku 21 ze strany subjektu. § 38 odst. 2 BSIG z toho činí nárok na vnitřní odpovědnost: členové řídicího orgánu odpovídají samotnému subjektu za porušení povinností podle § 38 odst. 1. Výkon opatření kybernetické bezpečnosti můžete delegovat. Schválení nebo dohled delegovat nemůžete. Směrnice vede čáru u lidí, kteří podepisují.
Přiměřenost umožňuje subjektu škálovat podle svého rizika
Článek 21 odst. 1 druhý pododstavec říká, že opatření musí být 'vhodná a přiměřená' riziku, kterému subjekt čelí. Do tohoto rozhodnutí vstupuje šest faktorů: expozice subjektu, jeho velikost, pravděpodobnost incidentu, závažnost dopadu (včetně společenských a hospodářských účinků), stav techniky a náklady na zavedení. Řídicí orgán je orgánem, který toto rozhodnutí o přiměřenosti posuzuje a podepisuje. Od Stadtwerku s 60 zaměstnanci se neočekává, že bude utrácet jako banka.
BSI jako příslušný orgán
Bundesamt für Sicherheit in der Informationstechnik (BSI) je německým příslušným orgánem podle § 29 BSIG. Dohlíží na opatření řízení rizik podle § 30 BSIG, provozuje kanál hlášení incidentů podle § 32 BSIG a provozuje registrační portál podle § 33 BSIG. Pro řídicí orgán je BSI adresou pro dotazy, registrace, oznámení incidentů a audity.
ENISA jako reference
Agentura Evropské unie pro kybernetickou bezpečnost (ENISA) je celounijní agenturou pro kybernetickou bezpečnost. Článek 18 NIS 2 jí dává roli v podávání zpráv o stavu kybernetické bezpečnosti. Rovněž vydává technické prováděcí pokyny (TIG) k prováděcímu nařízení Komise, včetně mapovacích tabulek na ISO/IEC 27001:2022 a NIST CSF 2.0. ENISA nedohlíží, ale auditoři a vnitrostátní regulátoři zacházejí s jejími pokyny jako s rozumným výkladem.
Aufsichtsrat jako paralelní dohled
Pokud má subjekt dozorčí radu (Aufsichtsrat v německé AG, Beirat ve větší GmbH), povinnosti řídicího orgánu podle NIS 2 běží souběžně se stávajícími povinnostmi dozorčí rady podle § 111 AktG dohlížet na vedení. Dozorčí rada nemůže sejmout článek 20 odst. 1 z talíře řídicího orgánu, ale může si vyžádat stejné doklady o schválení a dohledu, které NIS 2 očekává, a většina to dělá.
Tohle jsem delegoval na IT.
Výkon delegovat můžete. Schválení nebo dohled delegovat nemůžete. Článek 20 odst. 1 jmenuje řídicí orgán jako orgán, který opatření schvaluje a dohlíží na jejich zavádění. § 38 BSIG jmenuje Geschäftsleiter jako adresáta. Vedoucí IT, CISO, externí poskytovatel služeb mohou program řídit. Nemohou jej za vás podepsat. Směrnice vede čáru u lidí, kteří subjekt právně zastupují.
Počkejme, dokud nebude vnitrostátní zákon konečný.
Článek 20 se uplatňuje od transpoziční lhůty 17. října 2024. Německý NIS2UmsuCG je opožděn, ale povinnost ze směrnice na vnitrostátní zákon nečeká. Prováděcí nařízení Komise 2024/2690 je přímo závazné ve své sektorové působnosti od října 2024, aniž by transpozici potřebovalo vůbec. Provozovatelé považují říjen 2024 za provozní startovní čáru a dokumentují své fázování podle přiměřenosti v článku 21 odst. 1.
Kybernetická bezpečnost je problém IT.
Článek 20 z ní záměrně činí problém správy a řízení. Směrnice klade povinnost na řídicí orgán, nikoli na funkci IT, protože náklady, rozhodnutí o přijetí rizika a kompromisy dávají smysl jen na této úrovni. Tým IT opatření zavádí. Řídicí orgán vlastní obraz rizik, podepisuje za zbytkové riziko a je orgánem, se kterým o tom auditor a BSI komunikují.
Co vidíme v německém Mittelstandu: řídicí orgán pořádá pracovní setkání každé čtvrtletí, prochází registr rizik, schvaluje opatření podle článku 21, která jsou v daném období v rozsahu, a dokumentuje rozhodnutí o přiměřenosti ve dvou nebo třech řádcích. To je provozní podoba článku 20 odst. 1 pro subjekt, který nemá vyhrazený tým GRC.
Povinnost školení podle článku 20 odst. 2 vyžaduje méně, než lidé myslí. Pro školení řídicího orgánu podle NIS 2 neexistuje žádný certifikátor akreditovaný EU. Zápis a záznam o dokončení jsou právní minimum. Dvouhodinový kurz, který pokrývá strukturu směrnice, vlastní obraz rizik subjektu a roli řídicího orgánu, splňuje znění. Jde o to, aby lidé, kteří podepisují, uměli číst to, co podepisují.
Platforma zaznamenává tři povinnosti řídicího orgánu jako samostatné artefakty. Schválení běží jako podepsaná schválení proti opatřením podle článku 21, se jménem fyzické osoby v záznamu. Dohled běží přes pohled na dashboardu, který ukazuje stav zavádění, otevřená rizika a doklady o účinnosti na jednom místě. Záznamy o školení sedí na profilu uživatele s daty zápisu a dokončení.
Všechny tři napájejí stejnou auditní stopu, takže doklady, které článek 20 očekává (kdo co schválil, kdy, na jakém základě), vznikají jako vedlejší produkt používání platformy. Kurz pro CEO je součástí platformy. Platforma je zdarma a open source, bez uzamčení.
- Směrnice (EU) 2022/2555 (NIS 2), články 20, 21 a 41. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Prováděcí nařízení Komise (EU) 2024/2690 (CIR), příloha § 1. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Zákon o BSI (BSIG), § 29, § 30, § 32, § 33 a § 38. gesetze-im-internet.de/bsig_2009
- Aktiengesetz (AktG), § 111. gesetze-im-internet.de/aktg
- Technické prováděcí pokyny ENISA k CIR (EU) 2024/2690. enisa.europa.eu