Boj proti počítačové kriminalitě: Vysvětlení nových zákonů EU o kybernetické bezpečnosti

Parlament schválil nové zákony, které posilují kybernetickou bezpečnost EU v klíčových odvětvích. Zjistěte, jak vás ochrání.

Digitalizaci, která se čím dál více stává běžnou součástí našich každodenních životů, ještě urychlila pandemie koronaviru. Nezbytnou, se proto pro správné fungování společnosti stává kvalitní ochrana proti kybernetickým hrozbám.

Kybernetické útoky se mohou prodražit. Evropská komise odhaduje, že roční náklady spojené s počítačovou kriminialitou pro světovou ekonomiku do konce roku 2020 dosáhly výše 5,5 bilionu eur.

V listopadu 2022 Evropský parlament aktualizoval právní předpisy EU – chce posílit investice do silné kybernetické ochrany základních služeb a kritické infrastruktury a zpřísnit pravidla platná v celé EU. Parlament 22. listopadu posílil rovněž ochranu základní infrastruktury EU, včetně digitálního sektoru, a definitivně schválil právní předpisy zpřísňující posuzování rizik a požadavky na podávání zpráv pro kriticky důležité subjekty v 11 základních odvětvích. 

Přečtěte si více o tom, jak EU formuje digitální transformaci

Zpřísnění povinností v oblasti kybernetické bezpečnosti – směrnice NIS2


Směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti (NIS2) zavádí nová pravidla, která mají podpořit vysokou společnou úroveň kybernetické bezpečnosti v celé EU – pro podniky i státy. Zpřísňuje také požadavky na kybernetickou bezpečnost pro střední a velké subjekty, které působí a poskytují služby v klíčových odvětvích.

Jedná se o aktualizaci směrnice o bezpečnosti sítí a informací z roku 2016. Její nová podoba by měla zlepšit srozumitelnost a implementaci a také reagovat na rychlý vývoj v této oblasti. Zahrnuje více odvětví a činností než dříve, zjednodušuje povinnosti podávání zpráv a řeší bezpečnost dodavatelského řetězce.

Po schválení Parlamentem a zeměmi EU (v Radě) v listopadu 2022 mají členské státy 21 měsíců na její zavedení.

Zjistěte více o hlavních a nových kybernetických hrozbách

Další zahrnutá odvětví


Nový zákon rozšiřuje oblast působnosti o odvětví a činnosti, které mají zásadní význam pro hospodářství a společnost, včetně energetiky, dopravy, bankovnictví, zdravotnictví, digitální infrastruktury, veřejné správy a vesmíru. Nezahrnuje však národní a veřejnou bezpečnost, vymáhání práva ani soudnictví. Zákon se vztahuje na veřejnou správu na ústřední a regionální úrovni, nikoli však na parlamenty a centrální banky.

Vyžaduje, aby opatření k řízení rizik kybernetické bezpečnosti přijalo více subjektů a odvětví, včetně poskytovatelů veřejných služeb elektronických komunikací, provozovatelů sociálních médií, výrobců kriticky důležitých výrobků (včetně zdravotnických prostředků) a poštovních a kurýrních služeb.

Přísnější povinnosti pro státy


Co se dohledu týče, povinnosti, které musí všechny země EU splňovat, budou přísnější. Zlepší se díky tomu systém vymáhání, a to včetně harmonizace sankcí napříč členskými státy. Cílem je zároveň zlepšit spolupráci mezi jednotlivými státy, včetně spolupráce při rozsáhlých incidentech, pod záštitou Agentury EU pro kybernetickou bezpečnost (Enisa).

Zvýšení bezpečnosti digitálních produktů - zákon o kybernetické odolnosti


Stále více výrobků, které využíváme každý den, obsahuje digitální prvky (například dětské chůvičky, zvonky nebo Wi-Fi routery), což je činí náchylnými ke kybernetickým útokům. Aby byla zajištěna jejich bezpečnost, pracuje EU na aktu o kybernetické odolnosti, který stanoví jednotný soubor povinných požadavků na kybernetickou bezpečnost pro výrobky připojené k jinému zařízení nebo síti v celé EU. Parlament se na svém postoji dohodl v září 2023 a je připraven zahájit jednání o konečné podobě zákona se zeměmi EU v Radě. Poslanci navrhují rozšířit seznam systémů a produktů, které budou muset splňovat přísnější bezpečnostní požadavky, například o prohlížeče a správce hesel, o chytré domácí asistenty, chytré hodinky a chytré hračky. Poslanci také chtějí, aby se bezpečnostní aktualizace instalovaly automaticky a odděleně od funkčních aktualizací.

Žena v roušce za počítačem
Co znamenají nové zákony EU o kybernetické bezpečnosti

Ochrana finančního systému EU – DORA


Protože finanční sektor je stále více závislý na softwaru a digitálních procesech, potřebuje také zvýšenou ochranu. Nařízení o digitální provozní odolnosti (DORA) zajistí, že bude finanční sektor EU odolnější vůči závažným narušením provozu a kybernetickým útokům. Parlament tento právní předpis, který byl dříve dohodnut s Radou, definitivně schválil 10. listopadu 2022. Rada nařízení formálně schválila 28. listopadu 2022. 

Zákon zavádí a harmonizuje požadavky na digitální provozní odolnost pro sektor finančních služeb v EU a ukládá společnostem povinnost zajistit, že budou schopny odolat všem typům narušení a hrozeb souvisejících s informačními a komunikačními technologiemi (ICT), reagovat na ně a zotavit se z nich.

Nová pravidla se vztahují na všechny společnosti poskytující finanční služby – například banky, poskytovatele platebních služeb, poskytovatele elektronických peněz, investiční podniky, poskytovatele služeb v oblasti kryptoaktiv, ale i na kritické poskytovatele služeb ICT třetích stran.

Vnitrostátní orgány budou dohlížet na jejich implementaci a prosazovat jeho dodržování.

Přečtěte si více o tom, jak EU formuje digitální transformaci: