Stránky o kybernetické bezpečnosti

CER - Směrnice EU 2022/2557

ze dne 14. prosince 2022 o odolnosti kritických subjektů

Jejím hlavním cílem je posílit odolnost subjektů poskytujících základní služby, které jsou nepostradatelné pro zachování životně důležitých společenských funkcí nebo hospodářských činností na vnitřním trhu EU. Směrnice nahrazuje starší předpis (2008/114/ES) a mění přístup od pouhé ochrany konkrétní infrastruktury k zajištění celkové odolnosti subjektů vůči všem druhům rizik (přírodním i člověkem způsobeným).

Klíčové prvky:

1. Rozsah působnosti a 11 regulovaných odvětví

Směrnice se vztahuje na kritické subjekty působící v těchto odvětvích: • Energetika (elektřina, dálkové vytápění, ropa, zemní plyn, vodík). • Doprava (letecká, železniční, vodní, silniční, veřejná přeprava). • Bankovnictví a infrastruktura finančních trhů. • Zdravotnictví. • Pitná voda a odpadní vody. • Digitální infrastruktura. • Veřejná správa. • Vesmír. • Výroba, zpracování a distribuce potravin. Z působnosti jsou naopak vyňaty subjekty veřejné správy působící převážně v oblasti národní bezpečnosti, obrany nebo prosazování práva.

2. Povinnosti členských států

Každý stát EU musí vytvořit rámec pro odolnost, který zahrnuje: • Strategii: Přijetí národní strategie pro posílení odolnosti kritických subjektů. • Posouzení rizik: Provedení celostátního posouzení rizik (přírodní katastrofy, havárie, terorismus, hybridní hrozby) alespoň každé čtyři roky. • Určení kritických subjektů: Státy musí do 17. července 2026 určit konkrétní subjekty, pro které bude platit regulace, na základě toho, zda poskytují základní službu a jaký dopad by měl její výpadek. • Dohled: Zřízení příslušných orgánů a jednotného kontaktního místa pro přeshraniční spolupráci.

3. Povinnosti kritických subjektů

Subjekty určené státem jako „kritické“ musí plnit tyto požadavky: • Vlastní posouzení rizik: Provádět analýzu rizik, která mohou narušit jejich služby, alespoň každé čtyři roky. • Opatření k zajištění odolnosti: Přijmout technická a organizační opatření k prevenci incidentů, zajištění fyzické ochrany prostor, odezvě na incidenty a obnově provozu. • Plán odolnosti: Popsat tato opatření v dokumentu, jako je plán odolnosti nebo jeho ekvivalent. • Bezpečnost personálu: Provádět ověřování spolehlivosti (tzv. vetting) u osob na citlivých pozicích. • Hlášení incidentů: Bez zbytečného odkladu (prvotní hlášení do 24 hodin) oznamovat příslušným orgánům incidenty, které významně narušují poskytování základních služeb.

4. Kritické subjekty zvláštního evropského významu

Pokud subjekt poskytuje stejné základní služby v šesti nebo více členských státech, může být určen jako subjekt „zvláštního evropského významu“. U těchto subjektů může Evropská komise organizovat poradní mise, které posoudí opatření k zajištění odolnosti a navrhnou zlepšení.

5. Vztah ke směrnici NIS 2

Směrnice CER se zaměřuje na fyzickou odolnost a obecná nebezpečí, zatímco kybernetickou bezpečnost řeší směrnice NIS 2 (2022/2555). Dokument zdůrazňuje, že oba předpisy musí být prováděny koordinovaně. U některých sektorů (digitální infrastruktura, bankovnictví) se vybrané kapitoly CER o povinnostech subjektů nepoužijí, protože jsou již pokryty NIS 2 nebo nařízením DORA, aby se předešlo zdvojování zátěže.

6. Dohled a sankce

Státní orgány mají pravomoc provádět u subjektů inspekce na místě, audity a vyžadovat důkazy o plnění opatření. Za porušení povinností musí členské státy stanovit účinné, přiměřené a odrazující sankce.

Povinnosti kritických subjektů podle směrnice o odolnosti

Hlavní povinnosti kritických subjektů (veřejných nebo soukromých subjektů poskytujících základní služby) při posilování jejich odolnosti jsou zakotveny ve směrnici (EU) 2022/2557 a zahrnují především následující oblasti:

1. Provádění posouzení rizik

Kritické subjekty jsou povinny provádět vlastní posouzení rizik, a to v případě potřeby, nejméně však každé čtyři roky. Toto posouzení musí: • Zahrnout všechna přírodní a člověkem způsobená rizika, která by mohla narušit poskytování základních služeb, včetně hybridních a teroristických hrozeb. • Zohlednit závislosti na jiných odvětvích a dopad, který by narušení služby mělo na ostatní sektory, a to i přeshraničně. • Vycházet z informací a posouzení rizik, které subjektu poskytne příslušný členský stát.

2. Přijímání opatření k zajištění odolnosti

Subjekty musí na základě výsledků analýzy rizik zavést vhodná a přiměřená technická, bezpečnostní a organizační opatření. Tato opatření se zaměřují na: • Předcházení incidentům: Včetně snižování rizika katastrof a přizpůsobení se změně klimatu. • Fyzickou ochranu: Zajištění prostor a infrastruktury (např. oplocení, monitorování, kontrola přístupu). • Odezvu a zvládání krizí: Zavedení protokolů pro řízení incidentů a výstražných postupů. • Obnovu a kontinuitu: Opatření pro zajištění kontinuity činnosti a určení alternativních dodavatelských řetězců. • Bezpečnost zaměstnanců: Řízení přístupových práv a stanovení kategorií pracovníků vykonávajících kritické funkce. • Zvyšování povědomí: Školení a cvičení pro příslušné pracovníky.

3. Dokumentace a personální zajištění

• Plán odolnosti: Kritické subjekty musí popsat přijatá opatření v plánu odolnosti nebo v rovnocenném dokumentu. • Styčná osoba: Každý subjekt musí určit styčnou osobu nebo její ekvivalent, která slouží jako kontaktní bod pro komunikaci s příslušnými státními orgány.

4. Ověřování spolehlivosti pracovníků

V odůvodněných případech a s ohledem na posouzení rizik mohou subjekty podávat žádosti o ověření spolehlivosti (vetting) osob na citlivých pozicích nebo osob s přístupem k důležitým informacím a systémům. Toto ověření zahrnuje potvrzení totožnosti a prověření záznamů v rejstříku trestů.

5. Oznamování incidentů

Kritické subjekty mají přísnou povinnost hlásit incidenty, které významně narušují nebo mohou narušit poskytování základních služeb: • Prvotní oznámení: Musí být podáno bez zbytečného odkladu, nejpozději do 24 hodin od okamžiku, kdy se subjekt o incidentu dozvěděl. • Podrobná zpráva: Následně musí subjekt předložit detailní zprávu, a to nejpozději do jednoho měsíce po incidentu. • Zpráva musí obsahovat informace o povaze, příčině a možných důsledcích incidentu, včetně případných přeshraničních dopadů.

6. Subjekty zvláštního evropského významu

Pokud subjekt poskytuje základní služby v šesti nebo více členských státech, může být určen jako kritický subjekt zvláštního evropského významu. Takové subjekty mají navíc povinnost poskytovat součinnost při poradních misích organizovaných Komisí a umožnit jim přístup k relevantním informacím a zařízením.

Kritéria významného narušení služeb

Při určování, zda by incident způsobil významné narušení poskytování základní služby, musí členské státy podle směrnice (EU) 2022/2557 zvažovat následující kritéria:

  • Počet uživatelů: Kolik uživatelů je závislých na základní službě poskytované dotčeným subjektem.
  • Závislost ostatních odvětví: Rozsah, v jakém jsou jiná odvětví a pododvětví (uvedená v příloze směrnice) závislá na této konkrétní základní službě. V tomto kontextu by členské státy měly v co největší míře zohlednit také dopady na dodavatelský řetězec.
  • Závažnost dopadů: Možný dopad incidentů z hlediska jejich intenzity a délky trvání na:
    • ekonomické a společenské činnosti,
    • životní prostředí,
    • veřejnou bezpečnost a bezpečnost obecně,
    • zdraví obyvatelstva.
  • Tržní podíl: Jak velký podíl na trhu s danou základní službou dotčený subjekt zaujímá.
  • Zasažené území: Rozsah území, které by mohlo být incidentem ovlivněno, včetně přeshraničních dopadů. Zvláštní zřetel je brán na zranitelnost izolovaných nebo vzdálených regionů (např. ostrovní či horské oblasti).
  • Důležitost subjektu a alternativy: Jak zásadní je subjekt pro udržování dostatečné úrovně služby, přičemž se posuzuje dostupnost alternativních způsobů poskytování dané služby. Dále směrnice specifikuje parametry, které se berou v úvahu konkrétně při oznamování incidentů příslušným orgánům, aby se určila závažnost narušení:
    1. Počet a podíl zasažených uživatelů.
    2. Doba trvání narušení.
    3. Zasažené území (s ohledem na jeho geografickou izolaci).

Členské státy mají povinnost předložit Evropské komisi informace o případných mezních hodnotách (prahových hodnotách), které k upřesnění těchto kritérií použily. Tato kritéria vycházejí ze zkušeností získaných při určování provozovatelů základních služeb podle předchozí legislativy.

Back to Top