Ke směrnici Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (alias NIS směrnice)

 Směrnice 2016/1158 ukládá členským státům tyto povinnosti:

1. První povinností je přijmout národní strategii pro bezpečnost sítí a informačních systémů.
2. Druhou povinností je určit, popřípadě vytvořit, vnitrostátní příslušné orgány, jednotná kontaktní místa a týmy CSIRT.

• Státy jsou rovněž do 9. listopadu 2018 povinny vytvořit seznam poskytovatelů základních služeb pro každé odvětví (viz níže).

Směrnice dále ustavuje:

1. Skupinu pro spolupráci, jejímž účelem je podporovat a usnadňovat strategickou spolupráci a výměnu informací mezi členskými státy a podporovat rychlou a účinnou operativní spolupráci.
2. Síť bezpečnostních týmů CSIRT, jejímž účelem je přispívat k budování důvěry mezi členskými státy a podporovat rychlou a účinnou operativní spolupráci.

• Zavádí bezpečnostní požadavky a požadavky na hlášení incidentů pro provozovatele základních služeb a pro poskytovatele digitálních služeb.

Výklad pojmů:

1. Provozovatel základních služeb je veřejný nebo soukromý subjekt, který poskytuje službu, která je základní z hlediska zachování kritických společenských nebo ekonomických činností, a zároveň je závislá na informačních systémech a případný bezpečnostní incident by vedl k významnému narušení poskytování takovéto služby. Těmito službami jsou, dle přílohy č. 2 směrnice: Energetika (elektřina, ropa, zemní plyn), doprava (letecká, železniční, vodní, silniční), bankovnictví, infrastruktura finančních trhů, zdravotnická zařízení, dodávky a rozvody pitné vody a digitální infrastruktura (výměnné uzly internetu, registry internetových domén nejvyšší úrovně, poskytovatelé služeb doménových jmen).
2. Poskytovatelem digitálních služeb je jakákoliv právnická osoba, poskytující digitální službu. Těmi jsou: on-line tržiště, internetový vyhledávač, anebo cloudové úložiště.
3. Skupina pro spolupráci je zřízena Směrnicí za účelem podpory a usnadnění strategické spolupráce a výměny informací. Tato skupina je tvořena zástupci členských států, Komise a agentury ENISA (European Network and Information Security Agency). Tato skupina poskytuje strategické vedení sítě CSIRT, zajišťuje výměnu informací a osvědčených postupů, posuzuje souhrnné zprávy a jedná o způsobu hlášení incidentů.
4. Příslušné orgány představují vnitrostátní orgán či orgány, stávající, či nově vytvořené, pro oblast bezpečnosti sítí a informačních systémů, které pokrývají přinejmenším odvětví základních služeb a digitálních služeb. Tyto orgány dohlížejí na provádění Směrnice na vnitrostátní úrovni.
5. Jednotné kontaktní místo je určené kontaktní místo pro oblast bezpečnosti sítí a informačních systémů. Toto kontaktní místo plní styčnou funkci v oblasti přeshraniční spolupráce se zahraničními orgány, týmy CSIRT a skupinou pro spolupráci. Předkládá výročně skupině pro spolupráci souhrnnou správu o počtu hlášení, incidentů a přijatých opatřeních.
6. CSIRT (Computer Security Incident Response Team) tým je vnitrostátní bezpečnostní tým, zřízený v každém členském státě. Tyto týmy jsou odpovědné za zvládání rizik a incidentů podle vymezených postupů. Jejich úkoly jsou přinejmenším monitorování incidentů na vnitrostátní úrovni, vydávání včasných varování a upozornění, reakce na incidenty, analýza rizik a účast v síti CSIRT.
7. Síť CSIRT je mezinárodní síť tvořena zástupci jednotlivých CSIRT týmů a týmu CERT-EU za účelem budování důvěry a podpory komunikace, výměny informací a spolupráce. Poskytuje podporu pro řešení přeshraničních incidentů.
8. Národní strategie pro bezpečnost sítí a informačních systémů představuje rámec vymezující strategické cíle a priority v oblasti bezpečnosti sítí a informačních systémů na vnitrostátní úrovni. Součástí této strategie budou zároveň politická a regulační opatření s cílem dosáhnout vysoké úrovně bezpečnosti sítí a informačních systémů, opatření pro reakci a obnovu a spolupráci veřejného a soukromého sektoru. Strategii do 3 měsíců po jejím přijetí členské státy oznámí Komisi.

Bezpečnostní požadavky:

Členské státy musí zajistit, aby provozovatelé základních služeb přijali technická a organizační opatření k řízení bezpečnostních rizik, kterým čelí sítě a informační systémy používané provozovateli. Rovněž musí členské státy v této věci zajistit, aby provozovatelé přijali vhodná opatření k předcházení bezpečnostních incidentů, k minimalizaci dopadu bezpečnostních incidentů, a k zajištění kontinuity služeb. Provozovatelé hlásí případné incidenty se závažným dopadem na kontinuitu služeb buďto příslušnému orgánu anebo týmu CSIRT. Ohlášení nemá vliv na právní odpovědnost. Příslušný orgán nebo tým CSIRT pak podle potřeby informuje o incidentu další členské státy, pokud jsou tyto dotčeny. Členské státy k zajištění vymahatelnosti těchto požadavků vybaví nezbytnými prostředky a pravomocemi ustanovené příslušné orgány. Mezi pravomoci patří přinejmenším: Právo vyžadovat relevantní informace k bezpečnosti sítí a systémů, doklady o účinném provádění bezpečnostních politik, a pravomoc vydávat závazné pokyny k nápravě nedostatků.

Členské státy musí dále zajistit, aby provozovatelé digitálních služeb určili a přijali vhodná a přiměřená technická a organizační opatření k řízení rizik, jimž jsou vystaveny jejich sítě a informační systémy. Tyto opatření musí zohledňovat bezpečnost systémů a zařízení, řešení incidentů, kontinuity provozu, monitorování, audity a testování a soulad s mezinárodními normami. Rovněž musí provozovatelé hlásit příslušnému orgánu nebo týmu CSIRT incidenty, které mají významný dopad na jimi poskytované služby. Hlášení musí poskytovat takové informace, aby bylo možné vyhodnotit případný přeshraniční dopad incidentu. Ohlášení incidentu je nicméně v tomto případě povinné pouze pokud má poskytovatel digitální služby přístup k informacím, které jsou nezbytné k posouzení dopadu incidentu na základě výše uvedených parametrů. Příslušný orgán nebo tým CSIRT má informuje ostatní státy jen v případě, kdy je to vhodné (tedy zřejmě když sám uzná za vhodné). Tato ustanovení pro povinnosti provozovatelů digitálních služeb se nicméně nevztahují na mikropodniky a malé podniky ve smyslu doporučení Komise 2003/361/ES. Členské státy zajistí, aby příslušné orgány v případě potřeby přijaly opatření, pokud provozovatelé digitální služby neplní v této oblasti své povinnosti.

Posuzování významu narušení v případě bezpečnostního incidentu je (pro obě výše uvedené kategorie) založeno na několika základních kritériích, kterými jsou:

1. Počet uživatelů, kteří jsou závislí na službě poskytované postiženým subjektem.
2. Závislosti dalších odvětví na službě poskytované postiženým subjektem.
3. Podíl postiženého subjektu na trhu.
4. Zeměpisný rozsah oblasti, která by mohla být incidentem zasažena.
5. Potenciální dopad incidentů pokud jde o délku jejich trvání a intenzitu dopadu na ekonomické a společenské činnosti, nebo veřejnou bezpečnost.

Sankce za porušení povinností ze Směrnice vyplývající stanoví členské státy. Tyto sankce musí být účinné, přiměřené a odrazující. Komise do 9. 5. 2019 předloží Evropskému parlamentu a Radě zprávu s vyhodnocením toho, jestli jsou přístupy členských států v této věci konzistentní. Komise dále pravidelně přezkoumává fungování této směrnice a podává zprávu Evropskému parlamentu a Radě. Směrnice vstoupila v platnost 8. srpna 2016.