NIS2 je aktualizovanou verzí EU směrnice NIS (Network and Information Security) z roku 2016. Rozšiřuje doposud platnou legislativu a představuje nový standard pro zabezpečení evropského kybernetického prostoru. Cílem je zajistit společný regulační rámec kybernetické bezpečnosti v Unii pro jednotlivé členské státy. Požadavky směrnice NIS2 musí být transponovány do právních systémů jednotlivých členských států, které tak mohou odrážet i jednotlivé národní zájmy v oblasti kybernetické bezpečnosti. Tato transpozici by měla proběhnout nejpozději do 17.  října 2024.  Směrnicí NIS2 se s účinností ode dne 18. října 2024 zruší také směrnice NIS.

NIS resp. NIS1 byla prvním úvodním předpisem EU a NIS2 na ni navazuje. Původní směrnice se zaměřovala na zabezpečení úzkého výběru organizací s velkým dopadem na společnost. Nová si klade za cíl zabezpečit všechny poskytovatele služeb důležitých pro fungování společnosti.
Dle směrnice NIS2 mají členské státy za úkol posílit kapacity v oblasti kybernetické bezpečnosti, zavést opatření k řízení kybernetických bezpečnostních rizik a oznamovací povinnosti v kritických odvětvích, a to společně s pravidly pro spolupráci, sdílení informací, dohled a prosazování v ještě větší míře, než jako tomu bylo doposud v rámci směrnice NIS.
Za významné změny lze považovat dramatické rozšíření počtu povinných subjektů, rozdělení subjektů na dvě kategorie tzv. „important“ (v návrhu české transpozice jako subjekt v režimu nižších povinností) a „essential“ (v návrhu české transpozice jako subjekt v režimu vyšších povinností), stanovení požadavků na bezpečnost dle této kategorie a zavedení sankcí.

NIS2 se až na výjimky vztahuje na střední a velké subjekty (Velikost subjektu je stanovena dle principů Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků.)
Obecně platí, že směrnice NIS 2 subjekty, které poskytují některou z určených služeb ve vyjmenovaných odvětvích:

• Energetika
• Doprava
• Bankovnictví a infrastruktury finančního trhu
• Zdravotnictví
• Pitná voda
• Odpadní voda
• Digitální infrastruktura
• Řízení služeb IKT (mezi podniky)
• Vesmír
• Veřejná správa
• Poštovní a kurýrní služby,
• Nakládání s odpady,
• Výroba, produkce a distribuce chemických látek,
• Výroba, zpracování a distribuce potravin,
• Výroba, zejména zdravotnických prostředků, počítačů, elektronických a optických přístrojů, některých elektrických zařízení a strojů, motorových vozidel
• Digitální poskytovatelé on-line tržišť, vyhledávačů a sociálních sítí
• Výzkumné organizace.

Následně se u těchto subjektů dle jejich velikosti určuje, která kategorie je pro ně relevantní (režim nižších nebo vyšších povinností).

U některých vyjmenovaných služeb je stanoveno, že pod regulaci směrnice NIS2 budou spadat všechny organizace, nehledě na jejich velikost. Jde zejména o

• poskytovatele služeb elektronických komunikací
• poskytovatelů služeb vytvářejících důvěru
• poskytovatele služeb DNS

U ostatních služeb se bude zohledňovat velikost organizace a v některých případech i další kritéria (např. počet odbavených cestujících za rok u letišť atp.).

Národní legislativa může definici subjektů rozšířit, a proto je výše uvedený seznam pouze informativní a pro konkrétní společnost je vždy nutné zkontrolovat odpovídající legislativu obsahující veškeré detaily a výjimky.

NIS2 je směrnice EU, jejíž požadavky musí být transponovány do české legislativy. Platí však, že česká legislativa nesmí požadavky NIS2 podkročit. Česká republika do nového Zákona o kybernetické bezpečnosti zahrne jak požadavky směrnice NIS2 tak lokální požadavky na kybernetickou bezpečnost.

Subjektům, které směrnici NIS2 nebudou dodržovat, mohou být uloženy vysoké pokuty.

• Základním subjektům (v lokální úpravě subjektům s povinnostmi ve vyšším režimu) hrozí až 10 milionů EUR nebo 2 % celosvětového obratu.
• Důležitým subjektům (v lokální úpravě subjektům s povinnostmi v nižším režimu) hrozí až 7 milionů EUR nebo 1,4 % celosvětového obratu.

Pro všechny subjekty bude v případě vyměření pokuty použito vyšší číslo obou výše zmíněných.
Organizacím, které nesplní stanovené požadavky, mohou být uloženy další nepeněžní sankce. Patří sem nařízení ke splnění požadavků, závazné pokyny, požadavky na oznamování a podávání zpráv dotčeným stranám, a implementační opatření, která mohou vyplynout ze zjištění bezpečnostního auditu.

Ano, některých vyjmenovaných služeb je stanoveno, že pod regulaci směrnice NIS2 budou spadat všechny organizace, nehledě na jejich velikost. Jde zejména o

• poskytovatele služeb elektronických komunikací
• poskytovatelů služeb vytvářejících důvěru
• poskytovatele služeb DNS

Zároveň si jednotlivé členské státy mohou počet subjektů rozšířit dle lokálních potřeb.

Hlavním požadavkem je, aby jednotlivé členské státy zajistily přijetí vhodných a přiměřených technických, provozních a organizačních opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, které tyto subjekty používají pro svůj provoz nebo poskytování svých služeb, a předcházely tak incidentům nebo minimalizovaly jejich dopad na poskytování služeb. 10 konkrétních oblastí zmiňuje směrnice v článku 21 a tyto budou v národní úpravě dále rozpracovány v novém zákoně o kybernetické bezpečnosti. Tyto oblasti zahrnují:

1. politiku analýzy rizik a politiku bezpečnosti informačních systémů;
2. řešení incidentů;
3. řízení kontinuity provozu, jako je například správa zálohování a obnova provozu po havárii, a krizové řízení;
4. bezpečnost dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho přímými dodavateli nebo poskytovateli služeb;
5. zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešení;
6. politiky a postupy za účelem posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik;
7. základní postupy kybernetické hygieny a školení v oblasti kybernetické bezpečnosti;
8. politiky a postupy týkající se používání kryptografie a případně šifrování;
9. bezpečnost lidských zdrojů, postupy kontroly přístupu a správa aktiv;
10. v příslušných případech používání vícefaktorových autentizačních řešení nebo trvalých autentizačních řešení, zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu.

V případě všech poskytovatelů regulované služby

• Zaregistrovat se jako povinný subjekt
• Hlásit kontaktní údaje
• Stanovit rozsah řízení kybernetické bezpečnosti
• Zavádět bezpečnostní opatření
• Hlásit kybernetické bezpečnostní incidenty
• Informovat uživatele o incidentech a hrozbách
• Zavádět protiopatření vydaná Národním úřadem pro kybernetickou a informační bezpečnost

V případě těch, kteří jsou zároveň tzv. poskytovateli strategicky významné služby navíc

• Mechanismus prověřování bezpečnosti dodavatelského řetězce
• Zajištění dostupnosti strategicky významné služby

Přesné znění požadavků na splnění nového Zákona o kybernetické bezpečnosti není známo, ale i tak není na co čekat. Požadavky na jednotlivá bezpečnostní opatření vychází z ISO 27000 (ISMS) a zavádění požadavků plynoucí z této normy bude velmi podobné se zaváděním požadavků nového Zákona.

NIS2 musí být transponován do legislativy jednotlivých států dle principu, že národní legislativa může být přísnější než je NIS2.

Gestorem řádné transpozice směrnice NIS2 je Národní úřad pro kybernetickou a informační bezpečnost.

Návrh zákona o kybernetické bezpečnosti pracuje s několika lhůtami. První jsou spojeny s nahlášením subjektu NÚKIBu (subjekt se sám registruje). Toto musí proběhnout hned po začátku platnosti zákona, resp. do 30 dnů od identifikace, že subjekt spadá pod novou úpravu. Na implementaci jednotlivých organizačních a technických opatření je pak dána lhůta 1 roku od nahlášení subjektu NÚKIBu.