Přeskočit na hlavní obsah

Směrnice o odolnosti kritických subjektů CER – co přináší a jak se na ni připravit?

V roce 2024 nabyla účinnosti nejen evropská směrnice NIS2 , ale též směrnice o odolnosti kritických subjektů – Critical Entities Resilience (CER), jejímž cílem je snížit zranitelnost a posílit odolnost kritických subjektů před různými typy hrozeb. Tato směrnice pod číslem 2022/2557 ze dne 14. prosince 2022 představuje aktualizaci jiné směrnice o určování a označování evropských kritických infrastruktur a o posouzení potřeby zvýšit jejich ochranu z roku 2008, která se věnovala pouze vybraným odvětvím a obsahovala ustanovení týkající se výhradně určitých částí odolnosti. Novější pravidla z roku 2022 tak mají za cíl posílit odolnost kritických subjektů vůči široké škále hrozeb, včetně těch přírodního rázu, terorismu, hybridních anebo vnitřních hrozeb a sabotáží v řadě odvětví.

 

Koho se CER týká?

CER definuje takzvané „kritické subjekty“, které jsou vnímány jako nezbytné pro udržení kontinuity společenského a hospodářského života, a za „kritický subjekt evropského významu“ považuje entity, jež poskytují fundamentální služby v šesti nebo více členských státech Evropské unie a spadají do některého z 11 specifikovaných sektorů, které jsou vnímány jako klíčové pro zachování důležitých společenských funkcí a ekonomických činností, veřejného zdraví a bezpečnosti nebo životního prostředí

  • Bankovnictví
  • Infrastruktura finančního trhu
  • Digitální infrastruktura
  • Doprava
  • Energie
  • Zdravotnictví
  • Pitná voda
  • Odpadní voda
  • Veřejná správa
  • Vesmír
  • Výroba, zpracování a distribuce potravin

Tyto kritické subjekty jsou vystaveny nejen rizikům souvisejícím s přírodními katastrofami, ale také cíleným útokům, ať už ze strany hackerů nebo teroristických skupin, což zdůrazňuje potřebu jejich plošné ochrany a zvýšení odolnosti. V souladu se směrnicí budou tak členské státy EU povinny nejen identifikovat kritické subjekty, a to konkrétně do 17. července 2026, ale také je podporovat při plnění povinností, které ze směrnice vyplývají.

Business Corporate Management Planning Team Concept; Shutterstock ID 397123759

Na co se CER zaměřuje?

CER prioritně řeší tři důležité aspekty. Prvním z nich je zvyšování odolnosti subjektů vůči různým hrozbám, včetně kybernetických útoků, přírodních katastrof a teroristických aktivit. Druhým je ochrana uživatelů digitálních služeb, možnost zvýšení jejich důvěry a minimalizace jejich vystavení nelegálnímu, škodlivému nebo manipulativnímu obsahu. V neposlední řadě jde o transparentnost a dohled, přičemž CER stanovuje konkrétní požadavky na dohled nad poskytovateli digitálních služeb a snaží se zajistit, aby kritické subjekty byly transparentní ohledně svých postupů a aktivně spolupracovaly s regulačními orgány.

V souvislosti s těmito cíli budou členské státy EU muset vypracovat a zavést národní strategii pro zvýšení odolnosti kritických subjektů, dle níž budou následně jednotlivé subjekty, na něž bude strategie aplikovatelná, povinny provádět hodnocení rizik nejméně jednou za čtyři roky – budou zodpovědní za identifikaci rizik, která mohou významně narušit poskytování jejich služeb, přijetí vhodných opatření k zajištění vyšší úrovně vlastní odolnosti a zároveň za reportování událostí narušujících jejich odolnost směrem k příslušným orgánům.

Proč je CER důležitá?

CER je vedle nařízení o digitální provozní odolnosti (DORA) a směrnice NIS2 dalším legislativním nástrojem, na který je třeba se řádně připravit. Jelikož se jedná o směrnici, její platnost automaticky neznamená konkrétní aplikovatelnost na jednotlivé subjekty. To je až na členských státech EU, které jsou povinny znění směrnice transponovat do lokální legislativy a určit konkrétní vymahatelná pravidla. V České republice se jedná o novelu zákona o kritické infrastruktuře.

Celkově je CER jakýsi návod ve formě doporučení a opatření s cílem dosáhnou vysoké úrovně odolnosti všech identifikovaných kritických subjektů v zájmu zajištění poskytování základních služeb v EU a zlepšení fungování vnitřního trhu. Do ledna 2026 musí každý členský stát EU vypracovat strategii pro posílení odolnosti kritických subjektů. Následně, do července 2026, mají členské státy povinnost sestavit seznam kritických subjektů. Posledním krokem je podání zprávy o souladu s požadavky směrnice Evropské komisi, a to nejpozději do července 2027.

Porovnání s požadavky NIS2 a DORA

Jak NIS2, tak DORA sdílejí několik společných cílů s CER, zejména pokud jde o zvyšování odolnosti a zlepšování bezpečnosti kritických sektorů.

Zatímco NIS2 i CER pokrývají stejná odvětví, hlavním zaměřením NIS2 je posílení kybernetické bezpečnosti síťových a informačních systémů, přičemž klade důraz na národní strategie kybernetické bezpečnosti, hodnocení rizik, reakci na incidenty a ochranu digitálních infrastruktur. NIS2 se zároveň soustředí na řízení kybernetických rizik a poskytuje podrobnější ustanovení týkající se informační bezpečnosti, včetně šifrování, správy zranitelností a krizových rámců pro kybernetickou bezpečnost.

Na rozdíl od NIS2 a CER je DORA přímo aplikovatelné nařízení zaměřené konkrétně na bankovnictví, infrastrukturu finančních trhů a digitální infrastrukturu. DORA se shoduje s CER v cíli zvýšit odolnost, zejména v kontextu kontinuity podnikání, nicméně vyžaduje konkrétní opatření pro hlášení incidentů, řízení rizik třetích stran a testování digitální operační odolnosti.

S čím můžeme pomoci?

Náš tým zkušených odborníků je připraven poskytnout komplexní soubor služeb pokrývajících široké spektrum vašich potřeb, od základní gap analýzy přes strategické poradenství až po implementační kroky

Provádíme detailní analýzu rizik, která napomáhá identifikovat a zhodnotit potenciální hrozby, jimž jsou jednotlivé subjekty vystaveny a na které je třeba se proaktivně připravovat. Zhodnotíme pravděpodobnost výskytu různých rizik a jejich možný dopad. Na základě analýzy rizik následně asistujeme s určením priorit, což umožňuje efektivní alokaci zdrojů pro řešení jednotlivých problémů.

Pomáháme při přípravě a realizaci důkladné analýzy současného stavu odolnosti vůči rizikům, identifikujeme nedostatky ve stávajících opatřeních a navrhneme konkrétní kroky, jak je zlepšit.

Pomáháme s tvorbou politik a kontrolních rámců pro dodržování předpisů, pravidel a standardů. Zajišťujeme tak, aby byly vaše postupy a procedury v souladu s relevantními právními a bezpečnostními požadavky.

Pro váš personál nabízíme školení a workshopy, které jsou zaměřené na zvýšení povědomí o rizicích a nutnosti posilování odolnosti vůči jednotlivým hrozbám. Naučíme vás praktické dovednosti, jak správně reagovat na krizové situace.

V Deloitte aktivně pomáháme s přípravou na dodržování veškerých relevantních pravidel, která z legislativy vyplývají, ať už se jedná o nařízení DORA, směrnici NIS2 a související Zákon o kybernetické bezpečnosti nebo právě směrnici CER.