NIS 2 vs NIS 1: co se ve skutečnosti změnilo
Čl. 41 směrnice (EU) 2022/2555 zrušil směrnici NIS 1 s účinností od 18. října 2024. Tato stránka popisuje, co to znamená v praxi.
Přehled
NIS 1 byla směrnice (EU) 2016/1148. Pokrývala sedm sektorů a rozdělovala adresáty na 'provozovatele základních služeb' (OES) a 'poskytovatele digitálních služeb' (DSP). Členské státy určovaly OES jednotlivě.
NIS 2 je směrnice (EU) 2022/2555. Pokrývá 15 sektorů v příloze I a 7 sektorů v příloze II, nahrazuje rozdělení OES/DSP 'klíčovými subjekty' a 'důležitými subjekty' a používá výslovné kritérium velikosti (50 nebo více zaměstnanců, nebo roční obrat nad 10 milionů eur).
Čl. 41 NIS 2 zrušil směrnici NIS 1 s účinností od 18. října 2024. Tam, kde právo členského státu stále odkazuje na starou směrnici, tyto odkazy nyní směřují na NIS 2. Národní transpoziční statuty (jako německý BSIG ve své verzi NIS 2) nahrazují dřívější architekturu IT-Sicherheitsgesetz 2.0.
Směrnice (EU) 2022/2555, čl. 41
Directive (EU) 2016/1148 is repealed with effect from 18 October 2024.
Datum zrušení je zároveň transpoziční lhůtou. Odkazy na NIS 1 v jiných aktech EU se čtou jako odkazy na NIS 2.
Prováděcí nařízení Komise (EU) 2024/2690
This Regulation lays down the technical and the methodological requirements of the measures referred to in Article 21(2) of Directive (EU) 2022/2555 [...]
CIR specifikuje opatření podle čl. 21 odst. 2 pro úzkou skupinu typů subjektů digitální infrastruktury. Samotný katalog čl. 21 se vztahuje na všechny subjekty podle NIS 2.
Německo: BSIG (verze NIS 2)
Gesetz uber das Bundesamt fur Sicherheit in der Informationstechnik (BSI-Gesetz).
Německo transponuje NIS 2 novelizací BSIG. Dřívější architektura IT-Sicherheitsgesetz 2.0 (pouze provozovatelé KRITIS) je nahrazena širším rozsahem, který zahrnuje klíčové a důležité subjekty.
Ze 7 sektorů a označování OES na 15 plus 7 sektorů s pravidlem velikosti
NIS 1 pokrývala sedm sektorů a vyžadovala, aby členské státy určovaly OES jeden po druhém. NIS 2 uvádí 15 sektorů v příloze I (klíčové) a 7 sektorů v příloze II (důležité) a automaticky se vztahuje na subjekty těchto sektorů, které splňují kritérium velikosti (50 nebo více zaměstnanců nebo více než 10 milionů eur obratu). Několik typů subjektů je v rozsahu bez ohledu na velikost.
Z opatření na vysoké úrovni podle čl. 14 na čl. 21 s 10 oblastmi opatření plus čl. 20 a čl. 23
Čl. 14 NIS 1 vyžadoval vhodná a přiměřená opatření v poměrně obecných pojmech. Čl. 21 odst. 2 NIS 2 jmenuje 10 konkrétních oblastí opatření (analýza rizik, zvládání incidentů, kontinuita činností, dodavatelský řetězec, zvládání zranitelností, účinnost, základní kybernetická hygiena a školení, kryptografie, řízení přístupu a správa aktiv, vícefaktorové ověřování a zabezpečená komunikace). Čl. 20 přidává výslovné povinnosti vedení, čl. 23 přidává strukturovanou kaskádu hlášení a čl. 27 přidává registraci údajů o subjektu u příslušného orgánu.
Z uvážení členského státu na minimální stropy pokut platné v celé EU
NIS 1 ponechávala pokuty z velké části na národním právu a vedla k širokým rozdílům mezi členskými státy. Čl. 34 NIS 2 stanoví minimální stropy platné v celé EU: pro klíčové subjekty nejméně 10 milionů eur nebo 2 procenta z celkového celosvětového ročního obratu, podle toho, co je vyšší; pro důležité subjekty nejméně 7 milionů eur nebo 1,4 procenta. Čl. 32 a čl. 33 také dávají dozorovým orgánům delší seznam pravomocí.
Technická opatření se obecně přenášejí
Subjekt, který již zavedl opatření podle čl. 14 NIS 1, rozpozná velkou část čl. 21 odst. 2 NIS 2: zvládání incidentů, kontinuita činností, dodavatelský řetězec, základní kybernetická hygiena a školení jsou přítomny v obou textech. Označení a hloubka se změnily, základní myšlenka nikoli.
Správa a řízení a hlášení jsou nové
Čl. 20 činí vedení odpovědným za schvalování opatření k řízení rizik kybernetické bezpečnosti, dohled nad jejich prováděním a absolvování školení. Čl. 23 zavádí třístupňovou kaskádu (včasné varování do 24 hodin, oznámení incidentu do 72 hodin, finální zpráva do jednoho měsíce). Ani jeden z těchto konstruktů v NIS 1 v této míře podrobnosti neexistoval.
Bundesamt fur Sicherheit in der Informationstechnik (BSI)
BSI je příslušným orgánem podle BSIG. Pro migraci provozuje registr subjektů, zveřejňuje Handreichungen ke školení vedení a dalším povinnostem a dohlíží na klíčové a důležité subjekty. Provozovatelé KRITIS nadále existují jako podmnožina s dodatečnými povinnostmi.
Agentura Evropské unie pro kybernetickou bezpečnost (ENISA)
ENISA zveřejňuje technické prováděcí pokyny pro opatření podle čl. 21 odst. 2 a provozuje evropskou databázi zranitelností podle čl. 12. Její texty jsou nezávazné, ale dozorové orgány je citují jako praktický základ.
BSIG nahrazuje architekturu IT-Sicherheitsgesetz 2.0
Německo transponuje NIS 2 novelizací BSIG. Dřívější model IT-Sicherheitsgesetz 2.0 se zaměřoval na provozovatele KRITIS. Verze BSIG podle NIS 2 rozšiřuje rozsah na klíčové a důležité subjekty a přidává povinnosti vedení podle čl. 20, hlášení podle čl. 23 a registraci podle čl. 27.
Naše dokumentace k NIS 1 se přenáší do NIS 2.
Technická opatření se obecně přenášejí, ale právní obálka nikoli. NIS 2 zavádí povinnosti vedení (čl. 20), třístupňovou kaskádu hlášení (čl. 23), registraci subjektu (čl. 27) a strukturovaný katalog podle čl. 21 odst. 2. Stará dokumentace k NIS 1 má obvykle mezery ve správě a řízení, časových lhůtách hlášení a v sekci dodavatelského řetězce. Berte dokumenty k NIS 1 jako výchozí bod, nikoli jako hotový spis.
Je to stejný regulátor, takže je to stejný režim.
V několika členských státech dozorce pro NIS 1 dohlíží i na NIS 2 (v Německu BSI). Instituce zůstala stejná; její zákonné pravomoci a katalog dozorovaných subjektů nikoli. Čl. 32 a 33 NIS 2 dávají dozorovým orgánům delší seznam inspekčních, auditních a vymáhacích pravomocí a čl. 34 stanoví minimální stropy pokut platné v celé EU, které podle NIS 1 neexistovaly.
Nic podstatného se nezměnilo.
Rozsah (15 plus 7 sektorů s pravidlem velikosti), správa a řízení (povinnosti vedení podle čl. 20), hlášení (kaskáda podle čl. 23), registrace (čl. 27) a pokuty (stropy podle čl. 34) se všechny změnily. Totéž znění 'vhodná a přiměřená' se objevuje v obou směrnicích, ale katalog kolem něj je v NIS 2 mnohem konkrétnější.
V praxi je migrace zřídka čistým restartem. Většina subjektů znovu použije části svého registru rizik z NIS 1, příručku pro incidenty a seznam dodavatelů a poté přidá nové části: rozhodnutí vedení o opatřeních podle čl. 21 odst. 2, pracovní postup hlášení podle čl. 23 s časovými značkami 24 hodin, 72 hodin a jeden měsíc, registrační záznam podle čl. 27 a sekci dodavatelského řetězce, která odpovídá čl. 21 odst. 2 písm. d).
Nejčastější viditelnou změnou je hlášení. Jediné oznámení 'bez zbytečného odkladu' podle NIS 1 se v NIS 2 stává třemi samostatnými dokumenty, každý s vlastní lhůtou a vlastním adresátem uvnitř subjektu. Praktici obvykle přestavují pracovní postup pro incidenty jako první, protože tam nová pravidla načasování zaberou rychle.
Registr povinností je strukturován kolem článků NIS 2. Opatření podle čl. 21 odst. 2 jsou sledována jako jednotlivé požadavky, lhůty hlášení podle čl. 23 jsou sledovány jako třístupňový pracovní postup pro incidenty, registrace podle čl. 27 je sledována jako samostatný záznam a rozhodnutí vedení podle čl. 20 je sledováno jako schválení.
Pokud subjekt již má důkazy z NIS 1, lze je připojit k odpovídajícímu požadavku NIS 2. Platforma nepředpokládá přenos; každý požadavek je přezkoumán a označen jako splněný, částečně splněný nebo otevřený, s datem a odpovědnou osobou.
- Směrnice (EU) 2022/2555, čl. 41 (zrušení směrnice (EU) 2016/1148), čl. 20, 21, 23, 27, 32, 33, 34, příloha I a příloha II (EUR-Lex).
- Směrnice (EU) 2016/1148, čl. 14 (bezpečnostní požadavky pro OES) a čl. 16 (bezpečnostní požadavky pro DSP) (EUR-Lex).
- Prováděcí nařízení Komise (EU) 2024/2690 ze dne 17. října 2024, body odůvodnění a příloha (EUR-Lex).
- Bundesamt fur Sicherheit in der Informationstechnik (BSI), informační stránky o NIS 2 a odkazy na BSIG (bsi.bund.de).
- ENISA, technické prováděcí pokyny k čl. 21 odst. 2 NIS 2 (enisa.europa.eu).