Navrhované rozšírenie rozsahu pôsobnosti NIS2, ktoré by v skutočnosti zaviazalo viac subjektov a sektorov k prijatiu opatrení, by z dlhodobého hľadiska pomohlo zvýšiť úroveň kybernetickej bezpečnosti v Európe. Previazanosť fungovania spoločnosti ako celku a organizácií v nej je už taká veľká, že prakticky neexistuje odvetvie, kde by informačné systémy nehrali významnú úlohu. Z tohto dôvodu aj smernica NIS2 už nehľadá systémy dôležité pre spoločnosť, ale definuje celé služby dôležité pre jej fungovanie.
Smernicou NIS2 sa stanoví základ pre opatrenia na riadenie rizík v oblasti kybernetickej bezpečnosti a pre oznamovacie povinnosti vo všetkých odvetviach, na ktoré sa vzťahuje táto smernica - napríklad nimi sú energetika, doprava, zdravie a digitálna infraštruktúra.
Podľa českého Národného úradu pre kybernetickú a informačnú bezpečnosť (ďalej len NUKIB): smernica NIS2 nepočíta s tým, že by ukladala povinnosti úplne každému, kto danú službu poskytuje. Vývoj doviedol jej tvorcu k tomu, že primárnym spôsobom stanovenia, či súkromná alebo verejná organizácia spadá pod reguláciu smernice, je súčasné naplnenie nasledujúcich dvoch pravidiel:
- organizácia poskytuje aspoň jednu službu uvedenú v prílohách smernice, a zároveň
- je stredným alebo veľkým podnikom, teda zamestnáva 50 a viac zamestnancov, alebo dosahuje ročný obrat alebo bilančnú sumu ročnej súvahy aspoň 10 miliónov EUR.
Prvé pravidlo tak zodpovedá tomu, že sa regulujú odvetvia a služby dôležité pre spoločnosť. Druhé pravidlo potom hovorí, že nie každý, kto takúto službu poskytuje, je dostatočne veľký a významný, aby bola regulácia primeraná aj v jeho prípade.
Inými slovami to znamená, že sa má rozšíriť zoznam prevádzkovateľov základných služieb na tzv. kľúčové/základné subjekty (“essential”) a dôležité subjekty (“important”) a zavedie sa aj pravidlo obmedzenia veľkosti. Smernicou tak bude novo regulovaných približne 60 služieb v 18 odvetviach. To znamená, že všetky stredné a veľké podniky (regulované subjekty budú také, ktoré zamestnávajú najmenej 50 zamestnancov, alebo dosahujú ročný obrat či bilančnú sumu ročnej súvahy aspoň 10 miliónov EUR), ktoré pôsobia v oblastiach/odvetviach zadefinovaných v Smernici budú patriť do jej pôsobnosti. Toto opatrenie preto významne zvýši počet subjektov, ktoré budú mať kybernetickú bezpečnosť povinnú.
Pri niektorých odvetviach však smernica stanovuje, že pod reguláciu NIS2 budú spadať všetky organizácie z daného sektora, bez ohľadu na ich veľkosť.
Pozor, pri posudzovaní veľkosti podniku podľa vyššie uvedeného popisu je potrebné venovať pozornosť v rámci kategórie tzv. partnerských alebo prepojených podnikov (napríklad pri koncernoch alebo dcérskych spoločnostiach), kedy je potrebné do výpočtu veľkosti podniku počítať aj tie.
Smernica však definuje aj oblasti, ktoré ňou nebudú regulované. Nebude sa uplatňovať na subjekty vykonávajúce činnosti v oblastiach, ako sú obrana alebo národná bezpečnosť, verejná bezpečnosť, presadzovanie práva a súdnictvo, ale aj parlamenty či centrálne banky jednotlivých členských štátov EÚ.
Členské štáty si v rámci transpozície smernice NIS2 majú stanoviť reguláciu takým spôsobom, že využijú dodatočné kritériá a vztiahnu reguláciu kybernetickej bezpečnosti na také organizácie, ktoré poskytujú služby uvedené v prílohách Smernice, a zároveň bez ohľadu na veľkosť. Napríklad, ako uvádza NUKIB, nimi sú:
- jediní poskytovatelia služby, ktorá je nevyhnutná v členskom štáte zo sociálneho alebo ekonomického hľadiska,
- spoločnosti poskytujúce služby, ktorých narušenie by mohlo mať významný vplyv na verejnú bezpečnosť alebo zdravie osôb,
- spoločnosti poskytujúce služby, ktorých narušenie by mohlo vyvolať významné riziko, najmä s cezhraničným dopadom.
Zároveň predbežne dohodnuté znenie Smernice obsahuje aj dodatočné ustanovenia na zabezpečenie proporcionality, vyššej úrovne riadenia rizika a jasných kritérií kritickosti kvôli určeniu subjektov, na ktoré sa smernica vzťahuje.
Pre kritické subjekty a finančný sektor budú, resp. už sú taktiež nové pravidlá. Európsky parlament a Rada zosúladili znenie NIS2 s právnymi predpismi platnými pre jednotlivé odvetvia, najmä s nariadením o digitálnej prevádzkovej odolnosti finančného sektora (DORA) a so smernicou o odolnosti kritických subjektov (CER) s cieľom zabezpečiť právnu zrozumiteľnosť a súdržnosť medzi NIS2 a týmito aktmi.
Stiahnite si prehľadné dokumenty o tom:
- aké oblasti služieb budú povinne regulované
- ako bude prebiehať rozhodovací / výberový proces toho, či daná spoločnosť bude povinne regulovaná
