Shrnutí k otázce vlivu NIS 2 na ZKB.
V tuto chvíli není jasné, jakým způsobem a v jaké podobě bude směrnice NIS 2 transponována do českého právního řádu (a to i vzhledem k tomu, že dosud není dáno její finální znění). Už v tuto chvíli lze ale jednoznačně říci, že okruh subjektů, na které se bude směrnice NIS 2 vztahovat, bude podstatně širší, než u aktuálně platné a účinné směrnice NIS (směrnice 2016/1148), která byla transponována do českého ZKB.
Návrh směrnice NIS 2 předpokládá, že do působnosti směrnice budou zahrnuty všechny střední a velké společnosti ve vybraných odvětvích či poskytující druhy služeb (které jsou vyjmenovány v přílohách I a II návrhu směrnice NIS 2). Subjekty mají být klasifikovány podle odvětví, v němž působí (nebo druhu služeb, které poskytují) a na tomto základě rozděleny do dvou kategorií – základní (essential) a důležité (important), přičemž k základním subjektům se řadí všechny kategorie základních subjektů dle aktuálně platné a účinné směrnice NIS.
Pokud jde o kategorii kritických subjektů – návrh směrnice NIS 2 s tímto pojmem neoperuje, ale upravuje jej návrh směrnice EP a Rady o posílení odolnosti kritických subjektů (směrnice CER), který je úzce provázán s a doplňuje návrh směrnice NIS 2. Je nutno podotknout, že tabulka kritických subjektů se v zásadě shoduje se seznamem základních subjektů dle směrnice NIS 2 (viz příloha I návrhu směrnice NIS 2). V tomto kontextu je ale nutno upozornit, že návrh směrnice CER v recitálu 14 sám uvádí, že: „Subjekty spadající do odvětví digitální infrastruktury jsou v zásadě založeny na síťových a informačních systémech a spadají do oblasti působnosti směrnice o bezpečnosti sítí a informací 2, která v rámci jejich povinností týkající se řízení rizik v oblasti kybernetické bezpečnosti a povinností hlásit incidenty řeší fyzickou bezpečnost těchto systémů. Jelikož se na tyto záležitosti vztahuje směrnice o bezpečnosti sítí a informací 2, povinnosti uvedené v této směrnici se na tyto subjekty nevztahují. Vzhledem k významu služeb poskytovaných subjekty v odvětví digitální infrastruktury pro poskytování dalších základních služeb by však členské státy měly na základě kritérií a obdobně s použitím postupu stanoveného v této směrnici určit subjekty v odvětví digitální infrastruktury, které by měly být považovány za rovnocenné kritickým subjektům pouze pro účely kapitoly II (pozn. Vnitrostátní rámce pro posílení odolnosti kritických subjektů), včetně ustanovení o podpoře členských států při posilování odolnosti těchto subjektů.“
Právě výrazné zvýšení počtu subjektů, na které se směrnice vztahuje, a zejména zavedení kritéria velikosti podniků, podle kterého všechny střední a velké subjekty, které působí v odvětvích nebo poskytují služby, na které se vztahuje směrnice NIS 2, spadají do její působnosti, již od počátku představoval hlavní důvod znepokojení ze strany členských států. Z tohoto důvodu Rada EU přinesla kompromisní návrh, který sice toto pravidlo zachovává, ale obsahuje další ustanovení k zajištění proporcionality, vyšší úrovně řízení rizik a jasnějších pravidel posouzení kritičnosti pro určení subjektů, které spadají do oblasti působnosti směrnice NIS 2. K návrhu směrnice NIS 2 vydal svůj kompromisní návrh úpravy i Evropský parlament, který ale rozsah povinných subjektů zásadně nezužuje.
Kompromisní návrh Rady přidává další kategorii základních služeb (bod 8a – ICT service management). Poskytovatelé veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací uvedených v bodě 8 přílohy I spadají v každém případě do působnosti směrnice NIS 2, avšak podle velikosti se mají dělit do obou kategorií – poskytovatelé střední a větší velikosti mají spadat do kategorie základních subjektů, zatímco malí a mikro poskytovatelé mají spadat do kategorie důležitých subjektů. Obecně pak má platit, že subjekty uvedené v příloze I směrnice NIS 2, které jsou větší než střední mají spadat do kategorie základních subjektů a středně velké subjekty uvedené v příloze I mají být řazeny k důležitým subjektům.
Recitál 14a kompromisního návrhu Rady: Subjekty patřící do odvětví digitální infrastruktury jsou v podstatě založeny na síťových a informačních systémech, a proto by povinnosti, které těmto subjektům ukládá tato směrnice, měly komplexně řešit fyzickou bezpečnost těchto systémů jako součást jejich povinností v oblasti řízení rizik v oblasti kybernetické bezpečnosti a podávání zpráv. Jelikož se na tyto záležitosti vztahuje tato směrnice, povinnosti stanovené v kapitolách III až VI směrnice (EU) XXX/XXX [CER] se na tyto subjekty nevztahují.
Z výše uvedeného je zřejmé, že směrnice NIS 2 bude mít v každém případě značný dopad na ZKB – rozsah povinných subjektů se jednoznačně rozšíří, je ale otázka, jak bude vypadat a zda a jaký bude mít směrnice NIS 2 vliv na definici kritické informační infrastruktury. Lze se domnívat, že uvedené kategorie (základní a důležitá) se promítnou v rozšíření § 2 písm. i) ZKB a doplněním dalšího pojmu „důležité služby“ v tomto ustanovení § 2 a následně povinností stanovených ZKB. Samotné definice kritické informační infrastruktury se směrnice NIS 2 nutně dotknout nemusí, ale je pravděpodobné, že se jí bude dotýkat směrnice CER.
Dle čl. 3 návrhu směrnice CER:
1. Každý členský stát přijme do [tří let po vstupu této směrnice v platnost] strategii pro posílení odolnosti kritických subjektů. Tato strategie stanoví strategické cíle a politická opatření s cílem dosáhnout vysoké úrovně odolnosti těchto kritických subjektů a zachovat ji a pokrýt alespoň odvětví uvedená v příloze.
2. Tato strategie bude obsahovat alespoň tyto prvky:
a) strategické cíle a priority za účelem posílení celkové odolnosti kritických subjektů s přihlédnutím k přeshraniční vzájemné přeshraniční a meziodvětvové závislosti;
b) správní rámec pro naplnění cílů a priorit, včetně popisu úlohy a povinností různých orgánů, kritických subjektů a dalších stran zapojených do provádění této strategie;
c) popis opatření nezbytných k posílení celkové odolnosti kritických subjektů, včetně vnitrostátního posouzení rizik, určení kritických subjektů a subjektů rovnocenných kritickým subjektům, a opatření na podporu kritických subjektů přijatá v souladu s touto kapitolou;
d) politický rámec pro posílenou koordinaci mezi příslušnými orgány určenými podle článku 8 této směrnice a podle [směrnice o bezpečnosti sítí a informací 2] pro účely sdílení informací o incidentech a kybernetických hrozbách a výkonu úkolů v oblasti dohledu.
Strategie se podle potřeby aktualizuje, nejméně však každé čtyři roky.