Boj proti počítačové kriminalitě: Vysvětlení nových zákonů EU o kybernetické bezpečnosti

Digitalizaci, která se čím dál více stává běžnou součástí našich každodenních životů, ještě urychlila pandemie koronaviru. Nezbytnou, se proto pro správné fungování společnosti stává kvalitní ochrana proti kybernetickým hrozbám.

Kybernetické útoky se mohou prodražit. Evropská komise odhaduje, že roční náklady spojené s počítačovou kriminialitou pro světovou ekonomiku do konce roku 2020 dosáhly výše 5,5 bilionu eur.

V listopadu 2022 Evropský parlament aktualizoval právní předpisy EU – chce posílit investice do silné kybernetické ochrany základních služeb a kritické infrastruktury a zpřísnit pravidla platná v celé EU.

Přečtěte si více o tom, jak EU formuje digitální transformaci

Zpřísnění povinností v oblasti kybernetické bezpečnosti – směrnice NIS2

Směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti (NIS2) zavádí nová pravidla, která mají podpořit vysokou společnou úroveň kybernetické bezpečnosti v celé EU – pro podniky i státy. Zpřísňuje také požadavky na kybernetickou bezpečnost pro střední a velké subjekty, které působí a poskytují služby v klíčových odvětvích.

Jedná se o aktualizaci směrnice o bezpečnosti sítí a informací z roku 2016. Její nová podoba by měla zlepšit srozumitelnost a implementaci a také reagovat na rychlý vývoj v této oblasti. Zahrnuje více odvětví a činností než dříve, zjednodušuje povinnosti podávání zpráv a řeší bezpečnost dodavatelského řetězce.

Po schválení Parlamentem 10. listopadu 2022 ji budou muset schválit také země EU (Rada). Poté budou mít členské státy 21 měsíců na její zavedení.

Zjistěte více o hlavních a nových kybernetických hrozbách

Další zahrnutá odvětví

Nový zákon rozšiřuje oblast působnosti o odvětví a činnosti, které mají zásadní význam pro hospodářství a společnost, včetně energetiky, dopravy, bankovnictví, zdravotnictví, digitální infrastruktury, veřejné správy a vesmíru. Nezahrnuje však národní a veřejnou bezpečnost, vymáhání práva ani soudnictví. Zákon se vztahuje na veřejnou správu na ústřední a regionální úrovni, nikoli však na parlamenty a centrální banky.

Vyžaduje, aby opatření k řízení rizik kybernetické bezpečnosti přijalo více subjektů a odvětví, včetně poskytovatelů veřejných služeb elektronických komunikací, provozovatelů sociálních médií, výrobců kriticky důležitých výrobků (včetně zdravotnických prostředků) a poštovních a kurýrních služeb.

Přísnější povinnosti pro státy

Co se dohledu týče, povinnosti, které musí všechny země EU splňovat, budou přísnější. Zlepší se díky tomu systém vymáhání, a to včetně harmonizace sankcí napříč členskými státy. Cílem je zároveň zlepšit spolupráci mezi jednotlivými státy, včetně spolupráce při rozsáhlých incidentech, pod záštitou Agentury EU pro kybernetickou bezpečnost (Enisa).

Ochrana finančního systému EU – DORA

Protože finanční sektor je stále více závislý na softwaru a digitálních procesech, potřebuje také zvýšenou ochranu. Nařízení o digitální provozní odolnosti (DORA) zajistí, že bude finanční sektor EU odolnější vůči závažným narušením provozu a kybernetickým útokům. Parlament tento právní předpis, který byl dříve dohodnut s Radou, definitivně schválil 10. listopadu 2022.

Zákon zavádí a harmonizuje požadavky na digitální provozní odolnost pro sektor finančních služeb v EU a ukládá společnostem povinnost zajistit, že budou schopny odolat všem typům narušení a hrozeb souvisejících s informačními a komunikačními technologiemi (ICT), reagovat na ně a zotavit se z nich.

Nová pravidla se vztahují na všechny společnosti poskytující finanční služby – například banky, poskytovatele platebních služeb, poskytovatele elektronických peněz, investiční podniky, poskytovatele služeb v oblasti kryptoaktiv, ale i na kritické poskytovatele služeb ICT třetích stran.

Vnitrostátní orgány budou dohlížet na jejich implementaci a prosazovat jeho dodržování.