V EU vstoupí v platnost nová pravidla pro kyberbezpečnost. Co mají vlády i firmy čekat?

zdroj: shutterstock.com; autor: adike

Europoslanci minulý týden schválili směrnici, která jako vůbec první legislativa stanovuje společná evropská pravidla v oblasti kybernetické bezpečnosti. V platnost má vstoupit v srpnu a nejpozději do května roku 2018 ji mají členské země přenést do svých právních řádů. Jaké povinnosti z ní pro vlády a dotčené podniky vyplývají?

Podle nedávného průzkumu společnosti PwC se nejméně 80 % evropských firem za poslední rok stalo terčem alespoň jednoho kybernetického incidentu. V současné digitální době jsou podobné útoky stále častější, a kybernetická bezpečnost se proto pro vlády či podniky stává čím dál palčivějším problémem.

Evropskou odpovědí na kybernetické hrozby je směrnice o bezpečnosti sítí a informací v EU (NIS), jejíž návrh byl Komisí představen v únoru roku 2013 a minulý týden získal poslední potřebné schválení od Evropského parlamentu.

Andrus Ansip: „Pokud chceme, aby lidé a podniky co nejlépe využívali digitálních služeb, musí jim věřit.“

Europoslanci tak dali zelenou vůbec prvním celoevropským pravidlům, která mají v oblasti kybernetické bezpečnosti zlepšit schopnosti na úrovni členských států, posílit spolupráci v rámci EU a která zavádějí nové povinnosti také pro samotné firmy. Díky zintenzivnění spolupráce a vzniku společných standardů mají být před útoky chráněny jak evropské podniky, tak propojená infrastruktura zemí EU.

„Roztříštěné standardy kybernetické bezpečnosti nás dělají všechny zranitelné a představují velké bezpečnostní riziko pro Evropu jako celek. Tato směrnice vytvoří společnou úroveň sítí a bezpečnosti informací a posílí spolupráci mezi členskými státy EU, které tak budou moci v budoucnu zabránit kybernetickým útokům na významné evropské infrastruktury,“ uvedl německý europoslanec a zpravodaj směrnice Andreas Schwab (EPP).

Finální přijetí směrnice si pochvaluje také místopředseda Komise pro jednotný digitální trh Andrus Ansip.

„Pokud chceme, aby lidé a podniky co nejlépe využívali digitálních služeb, musí jim věřit. Jednotný digitální trh může být vytvořen pouze v bezpečném online prostředí. Směrnice o bezpečnosti sítí a informací je první komplexní právní předpis v oblasti kybernetické bezpečnosti a základním stavebním kamenem pro naši práci v této oblasti,“ uvedl.

Směrnice má vstoupit v platnost v srpnu. Členské státy pak budou mít 21 měsíců na to, aby ji implementovaly do svých právních řádů.  

PŘEHLED: Co směrnice konkrétně přinese?

Aby členské státy posílily své schopnosti v oblasti kybernetické bezpečnosti, mají na základě nových pravidel vytvořit vlastní strategie pro bezpečnost sítí a informačních systémů. Směrnice také zemím ukládá povinnost jmenovat národní autoritu, která bude sledovat uplatňování této nové unijní legislativy.

Členské státy budou také muset zřídit Skupinu pro reakci na počítačovou bezpečnost (CSIRT), která bude monitorovat a reagovat na incidenty a rizika, poskytovat systém včasného varování a diskutovat o přeshraničních otázkách bezpečnosti.

Na úrovni EU má vzniknout mechanismus spolupráce mezi členskými státy a Komisí, která umožní urychleně sdílet informace o rizicích a incidentech kybernetických útoků. Za tímto účelem vznikne skupina složená ze zástupců unijních zemí, Komise a Evropské agentury pro síťovou a informační bezpečnost (ENISA), která vznikla v roce 2004.

Kromě opatření na národní a unijní úrovni směrnice také stanovuje nové povinnosti pro digitální společnosti a poskytovatele digitálních služeb. Ty mají přijmout postupy řízení rizik a nově budou muset oznamovat závažné bezpečnostní incidenty v oblasti informačních technologií příslušnému vnitrostátnímu úřadu. Požadavek na oznamování bezpečnostních incidentů v oblasti informačních technologií má zajistit, že informace budou sdíleny mezi soukromým a veřejným sektorem.

Konkrétně se mají tyto povinnosti vztahovat na provozovatele kritických infrastruktur v odvětvích jako finanční služby, doprava, energetika a zdravotnictví. Dále se týkají společností poskytující služby v oblasti informačních technologií, včetně obchodů s aplikacemi, platforem elektronického obchodování či online plateb jako PayPal, ale také firem poskytujících služby cloud computingu, internetových vyhledávačů a sociálních sítí. Malé firmy však mají být od těchto povinností osvobozeny.

„V souladu se strategií jednotného digitálního trhu (směrnice) vytváří harmonizované požadavky pro platformy a zajišťuje, že podobná pravidla budou stejná kdekoli v Evropské unii. To je obrovský úspěch a velký první krok k vytvoření komplexního regulačního rámce pro platformy v EU,“ uvedl také Schwab.

Eliška Kubátová