Co je NIS2?
Směrnice EU 2022/2555 o kybernetické bezpečnosti, nejvýznamnější přepracování celoevropské regulace kybernetické bezpečnosti od roku 2016.
Přehled
Směrnice NIS2 (směrnice (EU) 2022/2555) je aktualizovaný rámec Evropské unie pro dosažení vysoké společné úrovně kybernetické bezpečnosti ve všech členských státech. Nahrazuje původní směrnici NIS z roku 2016.
NIS2 dramaticky rozšiřuje působnost regulace kybernetické bezpečnosti EU: z přibližně 10 000 subjektů podle NIS1 na odhadovaných 160 000 napříč Evropou. Jen v Německu je dotčeno zhruba 29 500 společností.
Směrnice ukládá harmonizovaná opatření pro řízení rizik, ohlašovací povinnosti při incidentech a požadavky na bezpečnost dodavatelského řetězce. Zavádí osobní odpovědnost vedení a výrazně vyšší sankce za nedodržení.
| Datum | Událost |
|---|---|
| 27. prosince 2022 | Směrnice NIS2 zveřejněna v Úředním věstníku EU |
| 16. ledna 2023 | NIS2 vstupuje v platnost na úrovni EU |
| 17. října 2024 | Lhůta pro členské státy k provedení do vnitrostátního práva |
| 17. dubna 2025 | Lhůta pro členské státy k zřízení registrů subjektů |
| 17. října 2027 | Evropská komise přezkoumá fungování směrnice |
| Aspekt | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Působnost | ~10 000 subjektů v EU | ~160 000 subjektů v EU |
| Sektory | 7 sektorů | 18 sektorů (11 vysoce kritických + 7 dalších kritických) |
| Klasifikace subjektů | Provozovatelé základních služeb (OES) + poskytovatelé digitálních služeb | Nezbytné subjekty + důležité subjekty (podle velikosti) |
| Sankce | Stanoveny členskými státy, velmi se lišily | Harmonizované: až 10 mil. EUR nebo 2 % celosvětového obratu |
| Odpovědnost vedení | Neřešeno | Osobní odpovědnost řídicích orgánů |
| Ohlašování incidentů | Bez zbytečného odkladu | Přísná kaskáda 24 h / 72 h / 1 měsíc |
| Dodavatelský řetězec | Neřešeno | Povinné posouzení bezpečnosti dodavatelského řetězce |
| Dohled | Ponecháno na členských státech | Proaktivní (nezbytné) + reaktivní (důležité) |
18 dotčených sektorů
- 01Energetika (elektřina, dálkové vytápění a chlazení, ropa, plyn, vodík)
- 02Doprava (letecká, železniční, vodní, silniční)
- 03Bankovnictví
- 04Infrastruktury finančních trhů
- 05Zdravotnictví (nemocnice, farmacie, zdravotnické prostředky, referenční laboratoře)
- 06Pitná voda
- 07Odpadní voda
- 08Digitální infrastruktura (DNS, TLD, cloud, datová centra, CDN, telekomunikace)
- 09Správa služeb IKT, B2B (MSP, MSSP)
- 10Veřejná správa
- 11Kosmický prostor
- 01Poštovní a kurýrní služby
- 02Nakládání s odpady
- 03Chemické látky (výroba, produkce, distribuce)
- 04Potraviny (velkoobchod, průmyslová výroba, zpracování)
- 05Výroba (zdravotnické prostředky, elektronika, elektrická zařízení, strojní zařízení, motorová vozidla, ostatní dopravní prostředky)
- 06Poskytovatelé digitálních služeb (online tržiště, vyhledávače, sociální sítě)
- 07Výzkumné organizace
| Velikost | Zaměstnanci | Finanční práh | Působnost NIS2 |
|---|---|---|---|
| Velký | ≥ 250 | > 50 mil. EUR obrat A > 43 mil. EUR rozvaha | V působnosti |
| Střední | ≥ 50 (a < 250) | > 10 mil. EUR obrat A > 10 mil. EUR rozvaha | V působnosti |
| Malý | < 50 | ≤ 10 mil. EUR obrat A ≤ 10 mil. EUR rozvaha | Obvykle mimo působnost |
Některé typy subjektů jsou v působnosti bez ohledu na velikost, mimo jiné poskytovatelé DNS, registry TLD, kvalifikovaní poskytovatelé služeb vytvářejících důvěru, provozovatelé KRITIS a výhradní poskytovatelé základních služeb.
- Zavést 10 povinných opatření k řízení rizik kybernetické bezpečnosti
- Ohlašovat významné incidenty ve lhůtách 24 h / 72 h / 1 měsíc
- Vedení musí opatření schvalovat, dohlížet na ně a být v kybernetické bezpečnosti proškoleno
- Posuzovat a řídit rizika kybernetické bezpečnosti v dodavatelském řetězci
- Zaregistrovat se u vnitrostátního příslušného orgánu
- Uchovávat důkazy o plnění (audity pro provozovatele KRITIS každé 3 roky)