Smernica NIS2: nové pravidlá kybernetickej bezpečnosti sietí a informačných systémov

Kybernetická bezpečnosť zahŕňa ochranu sietí a informačných systémov (NIS), ich používateľov a iných dotknutých osôb pred kybernetickými incidentmi a hrozbami. S cieľom reagovať na zvýšené vystavenie Európy kybernetickým hrozbám nahradila smernica 2022/2555, známa aj ako smernica NIS2, svoju predchodkyňu, smernicu 2016/1148 alebo smernicu NIS1. Smernica NIS2 zvyšuje spoločnú úroveň ambícií EÚ v oblasti kybernetickej bezpečnosti prostredníctvom širšieho rozsahu pôsobnosti, jasnejších pravidiel a silnejších nástrojov dohľadu. Od členských štátov sa v ňom vyžaduje, aby posilnili svoje spôsobilosti v oblasti kybernetickej bezpečnosti a zároveň zaviedli opatrenia na riadenie rizík a požiadavky na podávanie správ subjektom z viacerých odvetví a stanovili pravidlá spolupráce, výmeny informácií, dohľadu a presadzovania opatrení v oblasti kybernetickej bezpečnosti.

V smernici sa stanovuje, že každý členský štát prijme národnú stratégiu kybernetickej bezpečnosti, ktorá zahŕňa politiky v oblasti bezpečnosti dodávateľského reťazca, riadenia zraniteľnosti a vzdelávania a informovanosti v oblasti kybernetickej bezpečnosti. Členské štáty musia takisto vytvoriť a pravidelne aktualizovať zoznam prevádzkovateľov základných služieb a zabezpečiť, aby tieto subjekty dodržiavali požiadavky smernice. 

Okrem odvetví, na ktoré sa už vzťahuje smernica NIS 1, ako sú energetika, doprava, zdravotná starostlivosť, financie, vodné hospodárstvo a digitálna infraštruktúra, sa tieto pravidlá vzťahujú na poskytovateľov verejných elektronických komunikačných služieb, viac digitálnych služieb, ako sú sociálne platformy, odpadové vody a nakladanie s odpadom, výroba kritických výrobkov, poštové a kuriérske služby, verejná správa na ústrednej aj regionálnej úrovni alebo v kozmickom priestore. Stredné a veľké subjekty v týchto kritických odvetviach budú spravidla musieť prijať vhodné opatrenia na riadenie kybernetickobezpečnostných rizík a informovať príslušné vnútroštátne orgány o významných incidentoch. Ide o incidenty, ktoré by mohli spôsobiť vážne narušenie alebo poškodenie. 

Smernica obsahuje aj ustanovenia o dohľade, presadzovaní a dobrovoľných partnerských preskúmaniach s cieľom posilniť vzájomnú dôveru a spôsobilosti v oblasti kybernetickej bezpečnosti v celej EÚ. Zavádza sa ním aj zodpovednosť vrcholového manažmentu za nedodržiavanie opatrení na riadenie kybernetickobezpečnostných rizík, čím sa do pozornosti správnej rady dostáva kybernetická bezpečnosť.

Smernicou sa zriaďuje sieť jednotiek pre riešenie počítačových bezpečnostných incidentov (CSIRT) na výmenu informácií o kybernetických hrozbách a reakciu na incidenty. Tieto tímy majú zásadný význam pre udržiavanie situačného povedomia a poskytovanie pomoci. Na riadenie rozsiahlych kybernetických incidentov alebo kríz sa smernicou vytvára Európska sieť styčných organizácií pre kybernetické krízy (EU-CyCLONe). Táto sieť podporuje koordinované riadenie a zabezpečuje pravidelnú výmenu informácií medzi členskými štátmi a inštitúciami EÚ v prípade rozsiahlych incidentov a kríz. 

Skupina pre spoluprácu v oblasti sieťovej a informačnej bezpečnosti je zároveň platformou zriadenou smernicou NIS na uľahčenie strategickej spolupráce a výmeny informácií medzi členskými štátmi EÚ, Európskou komisiou a Agentúrou EÚ pre kybernetickú bezpečnosť (ENISA). Skupina uverejňuje nezáväzné usmernenia a odporúčania na podporu vykonávania smernice NIS.

Súvislosti

Smernica NIS 1 (smernica 2016/1148) bola prvým komplexným právnym predpisom EÚ zameraným na zvýšenie kybernetickej bezpečnosti sietí a informačných systémov s cieľom chrániť životne dôležité služby pre hospodárstvo a spoločnosť EÚ. V decembri 2020 Komisia navrhla revíziu smernice NIS 1, ktorej výsledkom bolo prijatie smernice NIS 2, ktorá nadobudla účinnosť v januári 2023. Členské štáty mali transponovať smernicu NIS2 do vnútroštátneho práva do 17. októbra 2024. Smernicou NIS 2 sa zrušila smernica NIS 1 od 18. októbra 2024.