Již v roce 2016 byla schválena první Směrnice NIS (Network and Information Systems Directive), která se zaměřovala na zlepšení kybernetické bezpečnosti v Evropské unii. Hlavním cílem bylo zvýšit odolnost kritické infrastruktury, digitálních služeb a dalších klíčových odvětví vůči kybernetickým hrozbám. V roce 2020 však bylo zřejmé, že se kybernetické hrozby rychle vyvíjejí a směrnice NIS již není dostačující. Proto byla Evropskou komisí v roce 2022 schválena NIS2, která má nahradit původní směrnici a lépe reagovat na nové výzvy.
Česká republika zavedla původní směrnici NIS prostřednictvím novelizace zákona o kybernetické bezpečnosti (zákon č. 181/2014 Sb.) s účinností od 1. srpna 2017. Směrnice NIS2 je pak hlavním obsahem aktuální velké novelizace tohoto zákona, která stále probíhá (i když podle původního předpokladu měla být již dokončena). Institucí, na kterém spočívala většina práce na novelizaci, je Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Ten je také zároveň orgánem dohledu nad těmito pravidly a zaváděním opatření v českém právním prostředí.
Hlavní rozdíly mezi NIS a NIS2
Zatímco NIS se soustředila především na zabezpečení kritické infrastruktury a digitálních služeb, NIS2 přináší rozšíření povinností na širší spektrum organizací. NIS2 se také zaměřuje na vyšší standardy kybernetické bezpečnosti. Hlavní rozdíly lze shrnout následovně:
- Rozšíření povinností: Kromě kritických odvětví, jako jsou energetika, bankovnictví a doprava, zahrnuje NIS2 nově také odvětví, jako je zdravotnictví nebo věda a výzkum. Důraz je kladen na celou řadu odvětví veřejných i soukromých služeb.
- Přísnější sankce: NIS2 zavádí přísnější sankce za nesplnění povinností v oblasti kybernetické bezpečnosti. Sankce mohou dosahovat až několika procent ročního obratu organizace.
- Posílený dozor: NÚKIB má větší pravomoci k provádění auditů, sledování dodržování opatření a vymáhání sankcí. Tento dohled je nově rozšířen na menší subjekty, které byly dříve mimo působnost NIS.
Dopady NIS2 na český neziskový sektor
Určit možný dopad NIS2 na český neziskový sektor je složité a závisí na kombinaci různých faktorů – velikosti organizace (podle obratu nebo počtu zaměstnanců*kyň), jejího zaměření a typu a rozsahu poskytovaných služeb. Velká většina českých neziskových organizací poskytuje služby, které nejsou přímo součástí odvětví, na která NIS2 cílí (např. energetika, doprava nebo finanční sektor).
Jsou tedy vůbec nějaké neziskové organizace, které budou spadat pod NIS2?
Přestože neziskovky zpravidla neplní roli klíčových hráčů v kritických odvětvích, některé z nich přesto mohou být povinny dodržovat nová pravidla. Oblasti regulovaných služeb, ve kterých se některé neziskové organizace pohybují, jsou:
- Zdravotní služby: Mnohé neziskové organizace poskytují zdravotní péči, což je jedno z odvětví nově regulovaných podle NIS2. Pokud neziskovka poskytuje zdravotní služby a splňuje určité ekonomické a provozní parametry, bude se muset registrovat u NÚKIB a plnit povinnosti NIS2.
- Digitální služby: Je také představitelné, že některé neziskové organizace poskytují digitální služby (kupř. CESNET). Takové organizace budou rovněž za splnění dalších podmínek podléhat regulaci.
- Věda, výzkum a vzdělávání. Část subjektů působících ve vědě, výzkumu a vzdělávání má neziskový charakter, zároveň však již mohou mít dostatečnou velikost a splňovat podmínky regulace.
Kromě sektoru poskytování služeb je hodnotícím kritériem pro zařazení do regulace (ekonomická) velikost organizace. NIS2 se odkazuje na evropské nařízení týkající se malých a středních podniků, podle kterého jsou (de facto) podniky rozděleny do tří kategorií:
- Mikropodniky a malé podniky
- Mají méně než 50 zaměstnanců*kyň.
- Roční obrat nepřesahuje 10 milionů EUR nebo celková roční bilanční suma je pod 10 miliony EUR.
- Tyto podniky jsou vyloučeny z povinnosti plnit pravidla NIS2, i kdyby splňovaly podmínku sektorové působnosti (např. digitální služby).
- Střední podniky
- Mají 50 až 249 zaměstnanců.
- Roční obrat se pohybuje mezi 10 a 50 miliony EUR nebo je bilanční suma mezi 10 a 43 miliony EUR.
- Tyto podniky podléhají nižším povinnostem NIS2 (tzv. „important“ režim), což znamená, že budou muset dodržovat pravidla NIS2, ale s méně náročnými požadavky než velké organizace.
- Velké podniky
- Zaměstnávají 250 a více zaměstnanců*kyň.
- Jejich roční obrat přesahuje 50 milionů EUR nebo bilanční suma činí více než 43 milionů EUR.
- Tyto podniky budou podléhat nejpřísnějším pravidlům NIS2 a budou muset splnit náročnější požadavky na kybernetickou bezpečnost (tzv. „essential“ režim).
Na paměti je třeba mít, že velikost organizace se v čase mění. Podnik, který byl několik let menší než střední, se může v roce dalším stát podnikem středním – a tím pádem splnit podmínku regulace podle NIS2. Proto organizace, které sice nyní podmínku ekonomické velikosti těsně nesplňují a nemusí se registrovat, by měly být s ohledem na možné překročení hranice obezřetné a počítat s tím, že se tak stát v blízké budoucnosti může.
Subjektivní kritéria a možné výjimky
Kromě objektivních kritérií, jako je velikost organizace a typ poskytovaných služeb, NIS2 zavádí i subjektivní kritéria pro rozhodování o tom, které organizace budou spadat pod regulaci. Pokud je organizace z hlediska svého významu pro společnost považována za důležitou, může se na ni nová pravidla vztahovat i přesto, že by jinak objektivně nesplňovala ostatní parametry.
Je proto pravděpodobné, že největší české charitativní a humanitární organizace podmínky regulace splní.
Co když kritéria splňujeme?
Pokud ve vás předchozí text vyvolal dojem, že podmínky regulace NIS2 můžete splňovat, pak doporučujeme:
- Pečlivě zhodnoťte svou činnost a určete, zda spadáte pod kritéria NIS2. Máte-li pochybnosti, konzultujte tuto otázku s odborníkem*icí.
- Pokud požadavky splňujete, zaregistrujte se u NÚKIB do 60 dnů od splnění povinnosti se registrovat.
- Zaveďte co nejdříve opatření kybernetické bezpečnosti alespoň na úrovni Minimálního bezpečnostního standardu NÚKIB (jakmile to půjde, zaveďte vyšší bezpečnostní standard podle zákona).
- Spolupracujte s odborníky*icemi, kteří vám pomohou s nastavením opatření a s plněním povinností a auditů.
Závěrem
Implementace NIS2 do českého právním řádu neznamená pro většinu neziskových organizací žádnou změnu. Nicméně velké (a středně velké) neziskovky, poskytující zdravotní, digitální či jiné klíčové služby, musí být na tuto možnost připraveny a jednat již nyní proaktivně.