V prvním dílu seriálu Regulace podle NIS2 jsme zabrousili do historie evropské regulace kybernetické bezpečnosti. Představili jsme si původní směrnici NIS, která dala na unijní úrovni základ pro minimální standard bezpečnosti sítí a informačních systémů používaných v důležitých službách, a rozebrali pravomoci podle této normy zřizovaných bezpečnostních týmů CSIRT/CERT.

Dnes na porovnání právních úprav navážeme. Popíšeme si, na koho se původní směrnice vztahovala dosud a jak se okruh těchto subjektů rozšíří na základě účinnosti NIS2. Vítejte u seriálu, který má za cíl připravit vás na možné nástrahy regulace kybernetické bezpečnosti, k němuž dojde transpozicí směrnice. Stát na to má čas do 16. října příštího roku.

Už když se přijímala původní směrnice NIS (EU) 2016/1148, byla otázka, na jaké operátory a služby se bude vztahovat, dlouze a do poslední chvíle diskutovaná. Nakonec byl zvolen kompromis mezi těmi, kteří si zvýšenou míru regulace přáli, a naopak těmi, podle nichž by bylo nejlépe ukládat povinností co nejméně. Tímto kompromisem bylo vytvoření dvou skupin povinných subjektů.

První zahrnovaly provozovatele základních služeb. Jednalo se o odvětví energetika, doprava, bankovnictví, infrastruktura, zdravotnictví, dodávky a rozvody pitné vody a digitální infrastruktura. Do poslední zmíněné se zařadily všechny výměnné internetové uzly, poskytovatelé služeb systému doménových jmen (DNS) a rejstříky internetových domén nejvyšší úrovně (TLD). Roli tam hrálo i to, jak byli tito poskytovatelé významní, tedy do úvahy vstupoval jejich počet a velikost s ohledem na jejich podíl na trhu. Dohlížitelem byl ze začátku Národní bezpečnostní úřad (NBÚ), který měl provozovat vládní bezpečnostní tým a být kontaktním místem pro hlášení incidentů z této skupiny povinných subjektů.

Na celou tuto skupinu se vztahoval princip minimální harmonizace. To znamená, že legislativa, kterou členské státy v návaznosti na směrnici musely přijmout, může pro tento okruh subjektů obsahovat určité povinnosti i nad rámec směrnice. V této souvislosti je ale důležité říct, že jak pro poskytovatele základních služeb, tak pro druhou skupinu – provozovatele elektronických služeb – platí, že by na ně členské státy neměly přenášet příliš velkou finanční ani administrativní zátěž.





Pro druhou zmíněnou skupinu platí opačný princip: maximální harmonizace. Státy na ně tak nemohly nakládat víc povinností, než jim směrnice umožňuje. Důvodem je, že už jen vzniku druhé skupiny povinných subjektů předcházelo náročné a zdlouhavé vyjednávání, a šlo tedy o výsledek obtížně dojednaného kompromisu. Objevovaly se hlasy, že regulace by neměla dopadat na registrátory domén nebo provozovatele cloudových systémů, když by tito byli znevýhodněni oproti svým konkurentům mimo Evropskou unii a když by se tyto nároky pak negativně podepsaly pod zvýšení ceny služby. Nadto se řešila i otázka, nakolik jde o systémy kritické pro fungování státu.

V účinné verzi směrnice NIS mezi provozovatele elektronických služeb, na které regulace dopadá, patří: online tržiště, internetové vyhledávače a poskytovatele cloud computingu. Automaticky jsou z této množiny ale vyškrtnuty všechny mikro- a malé podniky.

Kdo jsou malí a kdo velcí?

Abychom měli představu, o kom je řeč a kdo do regulace spadá podle posouzení velikosti podniku, přibližme si kritéria podle doporučení Komise 2003/361/ES, které podniky rozděluje následovně:

Mikropodnik: má méně než 10 zaměstnanců a roční obrat (tedy finanční částku utrženou za určité období) nebo rozvahu (výkaz aktiv a pasiv společnosti) do 2 mil. eur;

má méně než 10 zaměstnanců a roční obrat (tedy finanční částku utrženou za určité období) nebo rozvahu (výkaz aktiv a pasiv společnosti) do 2 mil. eur; Malý podnik: má méně než 50 zaměstnanců a roční obrat nebo rozvahu do 10 mil. eur;

má méně než 50 zaměstnanců a roční obrat nebo rozvahu do 10 mil. eur; Střední podnik: má méně než 250 zaměstnanců a roční obrat do 50 mil. eur nebo rozvahu do 43 mil. eur;

má méně než 250 zaměstnanců a roční obrat do 50 mil. eur nebo rozvahu do 43 mil. eur; Velký podnik: ten, který se do předchozích kategorií nevejde, to znamená má více než 250 zaměstnanců a roční obrat nad 50 mil. eur nebo rozvahu nad 43 mil. eur.

Co se nově změní?

Směrnice NIS2 přináší nový pohled na šíři regulace. Už nehledá systémy důležité pro společnost, ale rovnou definuje celé služby klíčové pro její bezproblémové fungování. Je to kvůli provázanosti fungování společnosti jako celku a organizací v ní, když informační systémy hrají významnou úlohu prakticky v jakémkoliv odvětví.

Proto místo dělení subjektů na provozovatele základních služeb a poskytovatele digitálních služeb jsou nově služby rozdělené na základní (essential) a důležité (important). Tyto služby NIS2 vyjmenovává ve svých dvou přílohách, právě podle tohoto rozdělení. U základních služeb se regulace bude týkat pouze velkých podniků, zatímco u důležitých služeb středních a velkých podniků.

Základní služby

Pojďme si tyto kategorie jednotlivě představit a zdůrazněme přitom, co se mění. Do kategorie základní regulace, tedy režimu „essential“, spadají v odvětví energetiky nově pododvětví dálkového vytápění a chlazení a také vodíku (výroba, skladování a přeprava vodíku). Jinak zde jsou provozovatelé distribuční a přenosové soustavy, výrobci a prodejci elektrické energie, organizátoři trhu s elektřinou, provozovatelé dobíjecích stanic spolu s poskytovateli elektromobility.

Jsou zde i provozovatelé ropovodů, zařízení na těžbu, rafinaci a zpracování ropy, skladovacích a přenosových zařízení a ústřední správci zásob. Dále sem řadíme obchodníky s plynem, distributory, přepravce a výrobce plynu a poskytovatele uskladňování plynu.

Do odvětví dopravy spadají komerční letečtí dopravci, řídicí orgány letišť a subjekty provozující pomocná zařízení v rámci letišť, provozovatelé kontroly řízení provozu. Pak to budou provozovatelé celostátní nebo regionální dráhy nebo veřejně přístupné vlečky a dopravci provozující na těchto drahách dopravu. A konečně tu nalezneme i silniční orgány zodpovědné za plánování, kontrolu a správu silnic spadajících do jejich územní působnosti.

Sektor bankovnictví a infrastruktury finančních trhů se řídí regulací vlastním nařízením DORA (o digitální provozní odolnosti finančního sektoru), a proto se mu věnovat nebudeme.

Do odvětví zdravotnictví se budou vedle zdravotnických zařízení nově řadit také referenční laboratoře EU, subjekty provádějící výzkum a vývoj léčivých přípravků, subjekty vyrábějící základní farmaceutické výrobky a přípravky a zdravotnické prostředky považované za kritické v případě ohrožení veřejného zdraví.

Vedle odvětví pitná voda upraveného NIS se v NIS2 nově doplňuje odvětví odpadní voda.Spadají tam subjekty shromažďující, vypouštějící nebo upravující městské nebo průmyslové odpadní vody nebo splašky, ale s výjimkou těch, které to mají pouze jako svou vedlejší činnost k jiné hlavní činnosti.

Do odvětví digitální infrastruktura se řadí provozovatelé služeb cloud computingu, služeb datových center, sítí pro doručování obsahu, služeb vytvářejících důvěru, veřejných sítí elektronických komunikací a služeb elektronických komunikací. Jsou tam i registry TLD, služby systému doménových jmen (DNS), a to s výjimkou poskytovatelů root name serverů.

Dále pak vznikla samostatná kategorie poskytovatelé řízených ICT služeb, což jsou subjekty, které pro zákazníky provozují nebo spravují ICT služby a nástroje. Typicky tito budou mít mezi sebou uzavřenu službu o úrovni zajištěných služeb (SLA).

A konečně, z přílohy I není vyňata ani veřejná správa, kam spadají ministerstva a jiné ústřední správní úřady, veřejná správa na regionální úrovni, soudy a státní zastupitelství a další instituce, důležité pro chod státu.

Poslední kategorií, která se ale Česka netýká, je vesmír. Sem by mohla spadat snad pouze Agentura pro kosmický program sídlící v Praze a koordinující programy systému Galileo.

Důležité služby

Podobně si představme i přílohu II, tedy důležité služby pro chod státu. Ač se to podle současné situace v České poště může zdát překonané, do této kategorie spadají poštovní služby, kam budou zahrnuty podniky provádějící výběr, třídění, přepravu a dodání poštovních zásilek, včetně provozovatelů kurýrních služeb.

Dále je to odpadové hospodářství. Tedy budou to provozovatelé zařízení určených pro nakládání s odpady, obchodníci, zprostředkovatelé a dopravci podle zákona o odpadech, kromě těch, pro které je nakládání s odpady jen jejich doplňkovou (vedlejší) činností.

Regulace se týká i chemického průmyslu,tedy výrobců, distributorů, a to včetně maloobchodníků, kteří chemické látky nebo předměty skladují a uvádí na trh.

Podřídit se novým pravidlům musí i potravinářství, a to jak zpracovatelé, tak i subjekty zabývající se velkoobchodní distribucí nebo průmyslovou výrobou.

Samostatnou kategorii má výroba,kam spadají výrobci zdravotnických a diagnostických zdravotnických prostředků, počítačů, elektronických a optických přístrojů, elektrických zařízení, strojů a zařízení, motorových vozidel (kromě motocyklů), přívěsů a návěsů, ostatních dopravních prostředků a zařízení.

V příloze II jsou vyjmenováni i poskytovatelé digitálních služeb,kam patří poskytovatelé online tržišť, internetových vyhledávačů a platforem služeb sociálních sítí.

Poslední oblastí je výzkum.Do ní jsou zahrnuty výzkumné organizace, s výjimkou vzdělávacích institucí, jejichž hlavním cílem je provádět aplikovaný výzkum nebo experimentální vývoj, s ohledem na využití výsledků tohoto výzkumu pro komerční účely.

Zcela samostatnou skupinou, která nespadá ani do režimu essential, ani important, ale přesto jí plynou povinnosti z NIS2, jsou registrátoři domén, tedy subjekty shromažďující a udržující přesnou a úplnou registraci doménových jmen.

Z výše uvedeného je zřejmé, že do režimu základní služby (essential) mohou spadat pouze takové organizace, které poskytují některou ze služeb v příloze I a zároveň jsou velkým podnikem. Pokud jsou pouze středním podnikem, budou spadat do režimu důležité služby (important). Pokud poskytují služby dle přílohy II, bez ohledu na velikost (velký nebo střední podnik), půjde o režim important.

I z tohoto pravidla ale existují výjimky. Jsou to poskytovatelé DNS služeb, doménoví registrátoři domén nejvyšší úrovně nebo veřejná správa. Tady velikost roli nehraje, zařazení těchto služeb do daného režimu je stanoveno přímo. Aby to bylo ještě trochu komplikovanější, NIS2 dává členským státům možnost určit některým organizacím spadajícím pod režim important přísnější režim essential. Kdy je to možné i jaká regulace se na dané kategorie uplatní, to si přiblížíme zase za týden.