V roce 2024 nabyla účinnosti nejen evropská směrnice NIS2 , ale též směrnice o odolnosti kritických subjektů – Critical Entities Resilience (CER), jejímž cílem je snížit zranitelnost a posílit odolnost kritických subjektů před různými typy hrozeb. Tato směrnice pod číslem 2022/2557 ze dne 14. prosince 2022 představuje aktualizaci jiné směrnice o určování a označování evropských kritických infrastruktur a o posouzení potřeby zvýšit jejich ochranu z roku 2008, která se věnovala pouze vybraným odvětvím a obsahovala ustanovení týkající se výhradně určitých částí odolnosti. Novější pravidla z roku 2022 tak mají za cíl posílit odolnost kritických subjektů vůči široké škále hrozeb, včetně těch přírodního rázu, terorismu, hybridních anebo vnitřních hrozeb a sabotáží v řadě odvětví.
CER definuje takzvané „kritické subjekty“, které jsou vnímány jako nezbytné pro udržení kontinuity společenského a hospodářského života, a za „kritický subjekt evropského významu“ považuje entity, jež poskytují fundamentální služby v šesti nebo více členských státech Evropské unie a spadají do některého z 11 specifikovaných sektorů, které jsou vnímány jako klíčové pro zachování důležitých společenských funkcí a ekonomických činností, veřejného zdraví a bezpečnosti nebo životního prostředí
Tyto kritické subjekty jsou vystaveny nejen rizikům souvisejícím s přírodními katastrofami, ale také cíleným útokům, ať už ze strany hackerů nebo teroristických skupin, což zdůrazňuje potřebu jejich plošné ochrany a zvýšení odolnosti. V souladu se směrnicí budou tak členské státy EU povinny nejen identifikovat kritické subjekty, a to konkrétně do 17. července 2026, ale také je podporovat při plnění povinností, které ze směrnice vyplývají.
CER prioritně řeší tři důležité aspekty. Prvním z nich je zvyšování odolnosti subjektů vůči různým hrozbám, včetně kybernetických útoků, přírodních katastrof a teroristických aktivit. Druhým je ochrana uživatelů digitálních služeb, možnost zvýšení jejich důvěry a minimalizace jejich vystavení nelegálnímu, škodlivému nebo manipulativnímu obsahu. V neposlední řadě jde o transparentnost a dohled, přičemž CER stanovuje konkrétní požadavky na dohled nad poskytovateli digitálních služeb a snaží se zajistit, aby kritické subjekty byly transparentní ohledně svých postupů a aktivně spolupracovaly s regulačními orgány.
V souvislosti s těmito cíli budou členské státy EU muset vypracovat a zavést národní strategii pro zvýšení odolnosti kritických subjektů, dle níž budou následně jednotlivé subjekty, na něž bude strategie aplikovatelná, povinny provádět hodnocení rizik nejméně jednou za čtyři roky – budou zodpovědní za identifikaci rizik, která mohou významně narušit poskytování jejich služeb, přijetí vhodných opatření k zajištění vyšší úrovně vlastní odolnosti a zároveň za reportování událostí narušujících jejich odolnost směrem k příslušným orgánům.
CER je vedle nařízení o digitální provozní odolnosti (DORA) a směrnice NIS2 dalším legislativním nástrojem, na který je třeba se řádně připravit. Jelikož se jedná o směrnici, její platnost automaticky neznamená konkrétní aplikovatelnost na jednotlivé subjekty. To je až na členských státech EU, které jsou povinny znění směrnice transponovat do lokální legislativy a určit konkrétní vymahatelná pravidla. V České republice se jedná o novelu zákona o kritické infrastruktuře.
Celkově je CER jakýsi návod ve formě doporučení a opatření s cílem dosáhnou vysoké úrovně odolnosti všech identifikovaných kritických subjektů v zájmu zajištění poskytování základních služeb v EU a zlepšení fungování vnitřního trhu. Do ledna 2026 musí každý členský stát EU vypracovat strategii pro posílení odolnosti kritických subjektů. Následně, do července 2026, mají členské státy povinnost sestavit seznam kritických subjektů. Posledním krokem je podání zprávy o souladu s požadavky směrnice Evropské komisi, a to nejpozději do července 2027.
Jak NIS2, tak DORA sdílejí několik společných cílů s CER, zejména pokud jde o zvyšování odolnosti a zlepšování bezpečnosti kritických sektorů.
Zatímco NIS2 i CER pokrývají stejná odvětví, hlavním zaměřením NIS2 je posílení kybernetické bezpečnosti síťových a informačních systémů, přičemž klade důraz na národní strategie kybernetické bezpečnosti, hodnocení rizik, reakci na incidenty a ochranu digitálních infrastruktur. NIS2 se zároveň soustředí na řízení kybernetických rizik a poskytuje podrobnější ustanovení týkající se informační bezpečnosti, včetně šifrování, správy zranitelností a krizových rámců pro kybernetickou bezpečnost.
Na rozdíl od NIS2 a CER je DORA přímo aplikovatelné nařízení zaměřené konkrétně na bankovnictví, infrastrukturu finančních trhů a digitální infrastrukturu. DORA se shoduje s CER v cíli zvýšit odolnost, zejména v kontextu kontinuity podnikání, nicméně vyžaduje konkrétní opatření pro hlášení incidentů, řízení rizik třetích stran a testování digitální operační odolnosti.
Náš tým zkušených odborníků je připraven poskytnout komplexní soubor služeb pokrývajících široké spektrum vašich potřeb, od základní gap analýzy přes strategické poradenství až po implementační kroky
Opens in new window