Topic outline

  • Nová směrnice EU o kybernetické bezpečnosti

    „NIS2“

    a návrh

    NOVÉHO ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI

    plánovaná platnost změn v kybernetické bezpečnosti od 2024


    Autorem a garantem obsahu je:

    Logo: NÚKIB


    • Vítejte na webových stránkách věnovaných blížící se regulaci kybernetické bezpečnosti v České republice – směrnici Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, tzv. směrnice NIS2 a změnám, které tato směrnice pro kybernetickou bezpečnost v České republice přinese. Tyto změny nastanou až s účinností nového zákona o kybernetické bezpečnosti (podle plánu v druhé polovině roku 2024).

      Směrnice NIS2 přináší mnoho změn v oblasti zajišťování kybernetické bezpečnosti a týká se nejen organizací, které jsou již nyní podle aktuálního zákona o kybernetické bezpečnosti povinny své systémy zabezpečovat, ale i velkého množství organizací, které budou do regulace spadat nově a do dnešního dne žádné povinnosti plnit nemusely.

      V kontextu řady změn i zájmu odborné veřejnosti o dané téma NÚKIB spustil tyto webové stránky, jejichž cílem je podávat přehledné a ucelené základní informace o tom, co nová směrnice NIS2 přináší, popsat největší změny stávajících požadavků a způsob, jak budou evropské požadavky promítnuty do národní legislativy.

      Vybrali jsme 10 nejzajímavějších a nejdůležitějších témat  spojených s budoucí úpravou kybernetické bezpečnosti, které Vám chceme představit. Zveřejněné informace budeme průběžně doplňovat. Témata obsahují také návrhy změn v právních předpisech České republiky.

      ZNĚNÍ SMĚRNICE NIS2

      EURLEX

      Konečné oficiální znění směrnice NIS2 bylo zveřejněno v Úředním věstníku Evropské unie dne 27. prosince 2022 ve všech úředních jazycích Evropské unie. NÚKIB doporučuje při čtení české verze oficiálního textu využít i anglické varianty, jelikož v tomto jazyce byla směrnice vytvářena a nejvíce odpovídá záměru regulace.

      • NÁVRH NOVÉHO ZÁKONA
        O KYBERNETICKÉ BEZPEČNOSTI
        A DALŠÍCH PŘEDPISŮ

        Směrnice je právní akt stanovující cíl, který musí všechny členské státy Evropské unie, tedy i Česká republika, splnit. Je na jednotlivých zemích, jak formulují příslušné vnitrostátní zákony a jak těchto cílů dosáhnou. Změny, které směrnice NIS2 přináší jsou natolik zásadní, že NÚKIB k tomuto úkolu přistoupil přípravou zcela nového zákona o kybernetické bezpečnosti a jeho vyhlášek, který tímto předkládá veřejnosti k připomínkám a diskuzi. Jde o první návrh ze strany NÚKIB zpracovaný necelý měsíc po oficiálním vydání směrnice NIS2. Lze očekávat, že se návrhy předpisů budou měnit, ať již na základě připomínek veřejnosti, tak v rámci standardního legislativního procesu (aktuálně ve formě rozpracovaných tezí).

        soubory

        Obsah archivu

        (dokumenty budou staženy jako celek v archivu ve formátu .zip, v1.0 platná k 25. lednu 2023)

      • Práva a povinnosti v oblasti kybernetické bezpečnosti, tj. stanovení povinných osob, jejich povinností i další instituty, ať už nové nebo stávající, vycházejí z obsahu návrhu nového zákona o kybernetické bezpečnosti. Vyhlášky vydané podle zákona tato práva a povinnosti dále rozvíjejí. V každém předpise naleznete pro lepší orientaci krátké manažerské shrnutí jeho obsahu a vztahu k ostatním předpisům.

        NÚKIB k 26. lednu 2023 zahajuje
        veřejné konzultace předložených návrhů.

        a v souladu se stanoveným harmonogramem žádá o zaslání případných připomínek do 26. února 2023 včetně.

        Důležité

        Mějte prosím na paměti, že obsah směrnice NIS2 stanovuje minimální požadavky, které nový zákon o kybernetické bezpečnosti a jeho vyhlášky přinášejí (nelze tedy její požadavky zmírnit či snížit). Zejména se jedná o případy regulovaných služeb (čl. 2 a 3 a přílohy I a II směrnice NIS2), bezpečnostních opatření (čl. 20 a 21 směrnice NIS2) nebo hlášení incidentů (čl. 23 směrnice NIS2) apod.

        Dále je potřeba zohlednit skutečnost, že každý z předkládaných návrhů má svůj vlastní harmonogram přijímání, přičemž harmonogram návrhu zákona předchází harmonogramům návrhů jednotlivých vyhlášek. Pro potřeby přijímání návrhu zákona jsou předkládány teze jeho vyhlášek. Výše zveřejněné návrhy vyhlášek jsou proto především rozpracovanými tezemi a je potřeba k nim tímto způsobem přistupovat.

        Navrhovaná změna musí splňovat alespoň základní náležitosti, aby se jí NÚKIB zabýval. Podmínkou je, aby navrhovaná změna byla relevantní k dané problematice, byla alespoň stručně zdůvodněna a obsahovala návrh řešení. Navrhovaná změna musí ctít podmínky právního státu a principy, na kterých je postaven zákon o kybernetické bezpečnosti. NÚKIB si vyhrazuje právo navrhovanou změnu odmítnout (především pokud bude rozporná se zněním směrnice NIS2), případně změnit její navrhovanou podobu při zachování původní myšlenky.

        Za účelem jednotného zpracování navrhovaných změn využijte formulář:

        formulář

        (dokument bude stažen ve formátu MS Word, docx, v1.0 platná k 25 . lednu 2023)

        Vyplněný formulář prosím zasílejte na adresu regulace@nukib.cz  a do předmětu uveďte "Návrh nového ZKB – připomínka veřejnosti 2023".

        Tato veřejná konzultace není součástí žádného ze stanovených legislativních procesů; standardní legislativní proces bude zahájen v průběhu roku 2023, a to v souladu s nastaveným harmonogramem, jehož cílem je, aby nový zákon o kybernetické bezpečnosti vstoupil v účinnost do data stanoveného směrnicí NIS2, tedy 17. října 2024.

        Orientační harmonogram nové právní úpravy

        orientační harmonogram nové právní úpravy

        • Tematické okruhy


          1. Obecné informace o směrnici NIS2 a budoucí národní úpravě


          Co se zde dozvím?
          • Co směrnice přináší
          • Jaké jsou nejpodstatnější změny

          Otevřít okruh

          2. Koho se nové povinnosti týkají


          Co se zde dozvím?
          • Jaká odvětví budou regulována
          • Jaká budou kritéria pro zahrnutí organizace do regulace

          Otevřít okruh

          • 3. Rozdělení povinných organizací


            Co se zde dozvím?
            • Jaké budou kategorie regulovaných organizací

            Otevřít okruh

            4. Povinnost zavádět bezpečnostní opatření


            Co se zde dozvím?
            • Jak budou organizace zabezpečovat své služby

            Otevřít okruh

            • 5. Incidenty a způsob jejich hlášení


              Co se zde dozvím?
              • Jaké incidenty se budou hlásit

              Otevřít okruh

              • 7. Způsob kontroly plnění povinností


                Co se zde dozvím?
                • Jak bude probíhat kontrola plnění povinností

                Otevřít okruh

                8. Sankce a donucovací prostředky


                Co se zde dozvím?
                • Jaké budou sankce za neplnění požadavků

                Otevřít okruh

                • 9. Národní a mezinárodní spolupráce


                  Co se zde dozvím?
                  • Jak bude řešena spolupráce při zajištění kybernetické bezpečnosti v rámci České republiky
                  • Jaká je podstata evropských institutů ve směrnici NIS2

                  Otevřít okruh

                  10. Další specifika úpravy v České republice


                  Co se zde dozvím?
                  • Opatření (protiopatření)
                  • Stav kybernetického nebezpečí
                  • Mechanismus prověřování rizikovosti dodavatelů
                  • Finanční aspekty nového zákona o kybernetické bezpečnosti

                  Otevřít okruh

                  • Další informace o směrnici NIS2

                    Záznam prezentace na téma „Směrnice NIS2 a hlavní plány její transpozice v ČR“, která byla prezentována na konferenci CyberCon 2022.


                    Podrobný rozhovor na téma budoucí regulace směrnice NIS2


                    Kulatý stůl: Úvod do problematiky NIS 2 - Legislativa EU zaměřená na kybernetickou bezpečnost


                    ŽIVĚ: EU přitvrzuje v boji s hackery a nové podmínky není radno ignorovat. Týkají se i vás?


                    NIS 2 a Bankovnictví – spolupráce ČBA, ČNB a NÚKIB (Kulatý stůl CyberBlog.cz, 11.08.2022)


                    V případě, že najdete v obsahu chybu či budete mít dotaz, kontaktujte nás na adrese: regulace@nukib.cz a do předmětu uveďte "web NIS2". 


                    Upozornění


                    Směrnice NIS2 byla dne 27. prosince 2022 zveřejněna v Úředním věstníku Evropské unie. Publikovaná podoba směrnice NIS2 je oficiální a nebude se již dále měnit. Informace na těchto stránkách vycházejí z finálního znění směrnice a mohou být do budoucna upraveny pouze s ohledem na vývoj interpretace obsahu této směrnice – k podobným případným úpravám by však mělo docházet jen zcela výjimečně.

                    Prezentované informace týkající se budoucí úpravy právních předpisů České republiky v závislosti na obsahu směrnice NIS2 mohou obsahovat názory a plány NÚKIB jako gestora této problematiky. V takovém případě je potřeba mít na paměti, že se při jejich tvorbě vychází z aktuálně dostupných informací a že nezbytnou součástí přijímání právních předpisů je legislativní proces, v rámci něhož může prezentovaná problematika projít změnami.

                    Cílem je poskytnout základní přehled o oblasti regulace spojené se směrnicí NIS2, nikoli detailní návod na implementaci požadavků do konkrétní organizace.

                    • Informace o zpracování osobních údajů

                      Informace o zpracování osobních údajů dle čl. 13 a 14 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“)

                      1. Obecné informace o správci

                      Správcem osobních údajů je Národní úřad pro kybernetickou a informační bezpečnost, Mučednická 1125/31, 616 00 Brno, IČO: 05800226, e-mail: posta@nukib.cz, ID datové schránky: zzfnkp3, jako ústřední orgán státní správy. Jako správce osobních údajů určuje účel, prostředky a způsob zpracování osobních údajů, provádí zpracování a odpovídá za něj.

                      Pověřencem pro ochranu osobních údajů správce je Mgr. Pavel Král, e-mail: DPO@nukib.cz

                      Zpracování osobních údajů probíhá v souladu s GDPR a dále v souladu s relevantními vnitrostátními právními předpisy v oblasti ochrany osobních údajů. Jako správce osobních údajů na základě povinnosti dané zvláštními zákony při zpracování osobních údajů správce dbá práva na ochranu soukromého a osobního života subjektu údajů.

                      2. Působnost správce a z něj vyplývající oblasti účelů zpracování osobních údajů.

                      Správce zpracovává osobní údaje za účelem vypořádání připomínek k návrhu nového zákona o kybernetické bezpečnosti a souvisejících předpisů.

                      Správce zpracovává osobní údaje při výkonu veřejné moci (zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen).

                      Vaše osobní údaje nebudou využity k automatizovanému rozhodování, tedy ani k profilování.

                      3. Subjekty osobních údajů

                      Národní úřad pro kybernetickou a informační bezpečnost zpracovává osobní údaje zasílatelů připomínek.

                      4. Kategorie osobních údajů

                      Identifikační a kontaktní údaje – jméno, příjmení, titul, organizace, e mailová adresa, telefonní číslo.

                      5. Způsob a doba zpracování osobních údajů

                      Zpracování osobních údajů provádí správce. Správce bude poskytnuté osobní údaje zpracovávat pouze po dobu nezbytně nutnou pro splnění účelu, k němuž byly shromážděny.

                      Veškeré osobní údaje budou vymazány nejpozději do 1 roku od vypořádání připomínek k návrhu nového zákona o kybernetické bezpečnosti a souvisejících předpisů.

                      Osobní údaje v elektronické formě (e-maily, dokumenty, databáze atd.) jsou uloženy na serverech Národního úřadu pro kybernetickou a informační bezpečnost.

                      Za účelem ochrany vašich osobních údajů zavedl správce řadu technických a organizačních opatření. Technická opatření zahrnují náležité kroky k zajištění bezpečnosti a ochrany před ztrátou údajů, jejich pozměněním nebo neoprávněným přístupem k nim, s přihlédnutím k riziku spojenému se zpracováním údajů a k povaze zpracovávaných osobních údajů. Organizační opatření zahrnují omezení přístupu k osobním údajům výlučně na oprávněné osoby, jež mají legitimní důvod se s nimi seznámit pro účely zpracování.

                      6. Komu jsou osobní údaje poskytovány

                      Přístup k vašim osobním údajům se poskytuje zaměstnancům správce, kteří odpovídají za provedení této operace zpracování.

                      V některých případech je Národní úřad pro kybernetickou a informační bezpečnost povinen v souladu s právními předpisy poskytovat osobní údaje jiným správcům osobních údajů.

                      Jde zejména o tyto případy:

                      a) poskytování osobních údajů orgánům činným v trestním řízení;

                      b) poskytování osobních údajů jiným orgánům státní správy při plnění zákonných povinností;

                      c) poskytování osobních údajů jiným členským státům Evropské unie nebo mezinárodním organizacím, pokud to vyplývá z přímo použitelných předpisů Evropské unie, mezinárodní smlouvy, kterou je Česká republika vázána, nebo jiných mezinárodních závazků.

                      7. Informace o základních právech subjektů údajů

                      Subjekt údajů je oprávněn uplatnit svá práva vyplývající z GDPR vůči správci osobních údajů, a to zasláním žádosti na adresu správce nebo na e-mailovou adresu pověřence.

                      Subjekt údajů má právo na přístup k osobním údajům, které se jej týkají, jejich opravu nebo výmaz, případně omezení zpracování, vznést námitku proti zpracování a uplatnit právo na přenositelnost údajů.

                      Jestliže je zpracování založeno na souhlasu, je subjekt údajů oprávněn kdykoliv souhlas odvolat, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním.

                      Subjekt údajů má právo podat stížnost na zpracování osobních údajů dozorovému úřadu, kterým je v České republice Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, 170 00 Praha 7, e mail: posta@uoou.cz, ID datové schránky: qkbaa2n.

                      • Licence, autorství, kontakt


                        Obsahovým garantem těchto webových stránek je Odbor regulace NÚKIB.

                        Obsah je publikován s licencí CC:

                        Mezinárodní licence Creative commons Uveďte původNepoužívejte komerčně Nezpracovávejte