Stránky o kybernetické bezpečnosti

Nařízení EU 2024/2690: „Akt pro digitály“

Toto nařízení je prováděcím předpisem ke směrnici NIS2 (2022/2555). Zatímco NIS2 dává obecný rámec, tento „Akt pro digitály“ stanovuje konkrétní technické a metodické požadavky pro vybrané poskytovatele digitálních služeb.

Hlavním cílem je zajistit, aby tito poskytovatelé splňovali stejnou úroveň zabezpečení bez ohledu na to, v kterém státě EU sídlí.

1. Koho se Akt pro digitály týká?

Nařízení se vztahuje výhradně na subjekty v odvětví Digitální infrastruktura a služby:

  • Provozovatelé DNS a registry jmen domén nejvyšší úrovně (TLD).
  • Poskytovatelé služeb cloud computingu a služeb datových center.
  • Sítě pro doručování obsahu (CDN).
  • Řízené služby (MSP) a řízené bezpečnostní služby (MSSP).
  • On-line tržiště, internetové vyhledávače a platformy sociálních sítí.

Poznámka: Ostatní subjekty spadající pod NIS2 (např. energetika, zdravotnictví) se řídí národním zákonem o kybernetické bezpečnosti, nikoliv tímto specifickým nařízením.

2. Klíčové oblasti bezpečnostních opatření

Nařízení detailně rozpracovává 12 oblastí, které musí dotčené subjekty pokrýt:

  1. Řízení rizik: Politika bezpečnosti sítí a informačních systémů.
  2. Zvládání incidentů: Postupy pro detekci, analýzu a reakci na incidenty.
  3. Kontinuita podnikání: Krizové řízení a obnova po havárii (disaster recovery).
  4. Bezpečnost dodavatelského řetězce: Hodnocení rizik u přímých dodavatelů.
  5. Zabezpečení vývoje: Bezpečnost při pořizování, vývoji a údržbě systémů (včetně SBOM).
  6. Kryptografie: Politiky pro využívání šifrování a zabezpečené komunikace.
  7. Bezpečnost lidských zdrojů: Programy zvyšování povědomí a řízení přístupů.

3. Co je „významný incident“?

Akt pro digitály definuje přesné parametry, kdy musí subjekt nahlásit incident úřadům. Incident je považován za významný, pokud splňuje alespoň jednu z podmínek:

  • Dopad na uživatele: Služba je nedostupná pro více než 5 % (nebo 100 000) uživatelů po dobu delší než 12 hodin.
  • Důvěrnost a integrita: Došlo k neoprávněnému přístupu k datům s dopadem na více než 5 % uživatelů.
  • Přeshraniční dopad: Incident postihl subjekty ve dvou nebo více členských státech.
  • Finanční ztráta: Incident způsobil subjektu přímou finanční ztrátu přesahující 500 000 EUR nebo 5 % obratu.

4. Vztah k zákonu o kybernetické bezpečnosti (ZoKB)

Toto nařízení má přímou účinnost. To znamená, že:

  • Subjekty se musí řídit přímo textem nařízení EU.
  • Technické požadavky v nařízení mají přednost před obecnými požadavky českého zákona o kybernetické bezpečnosti (ZoKB).
  • Dohled a sankce však zůstávají v kompetenci národního úřadu (NÚKIB).

5. Důležité termíny

  • Vstup v platnost: 17. října 2024.
  • Účinnost: Nařízení je plně aplikovatelné od 18. října 2024.
  • Subjekty, které se nově identifikují jako poskytovatelé těchto služeb, musí začít plnit požadavky okamžitě po svém zařazení pod regulaci NIS2.

Doporučení pro praxi: Pokud spadáte do kategorie „digitální infrastruktura“, vaše dokumentace ISMS (systém řízení bezpečnosti informací) musí být v souladu s přílohou tohoto nařízení, nikoliv pouze s vyhláškou o kybernetické bezpečnosti.

Back to Top