Transpozícia Smernice EÚ o sieťovej a informačnej bezpečnosti (NIS)

ZHRNUTIE

Rada Európskej únie zverejnila 21.4.2016 konečnú verziu Smernice o sieťovej a informačnej bezpečnosti (NIS). V lete ju musí oficiálne schváliť Európsky parlament, samotný text bol odsúhlasený troma inštitúciami EÚ a jeho zmena sa neočakáva. Členské štáty by ju mali zakotviť do svojich vnútroštátnych zákonov v rámci 21 mesiacov od jej prijatia. V prílohe nájdete príručku s osvedčenými postupmi pri zavádzaní aspektov týkajúcich sa technologického odvetvia, ktorá by mala slúžiť ako pomôcka pri celom procese, pričom ukáže ako zachovať pôvodné zámery autorov.

Smernica EÚ NIS predstavuje prvú celoeurópsku legislatívnu úpravu v oblasti kybernetickej ochrany, ktorá sa zameriava na posilnenie právomocí príslušných vnútroštátnych orgánov, zvyšuje ich vzájomnú koordináciu a predstavuje bezpečnostné podmienky pre kľúčové sektory odvetvia.

Každá legislatíva, ktorá implementuje danú smernicu na lokálnej úrovni by mala mať na pamäti jej dva hlavné ciele: (1) zabezpečenie vysokej úrovne kybernetickej bezpečnosti v rámci kritickej infraštruktúry jednotlivých krajín; (2) vytvorenie mechanizmu efektívnej spolupráce medzi členskými štátmi EÚ s cieľom napĺňania uvedeného cieľu. Zdroje by sa mali v prvom rade využiť na dosahovanie spomínaných dvoch dôležitých zámerov.

Pre technologické odvetvie sú ustanovenia týkajúce sa takzvaných poskytovateľov digitálnych služieb (PDS) mimoriadne dôležité. Smernica jasne stanovuje, že existujú zásadné rozdiely medzi prevádzkovateľmi základných služieb (PZS) a PDS. Druhí menovaní sa nepovažujú za kritickú infraštruktúru ako takú. Podľa legislatívy by udalosti ovplyvňujúce digitálne služby mali predstavovať výrazne nižšie riziko pre hospodársku a verejnú bezpečnosť krajiny. Zachovanie daného rozdelenia je mimoriadne dôležité pre efektívne a účinné rozmiestnenie minimálnych zdrojov, ktoré majú úrady k dispozícii, pričom budú musieť presadzovať pravidlá a dozerať na ich dodržiavanie.

V konečnom dôsledku obhájime viac pozornosti pre zamýšľaný zámer daných služieb a vyzývame politikov, aby do bezpečnostných požiadaviek v rámci vnútroštátnej legislatívy nezahŕňali iné sektory ako PZS či PDS.

Čo sa týka jurisdikcie, PDS by mali mať možnosť spoľahnúť sa na platnú legislatívu v krajine, kde sa nachádza hlavné miesto ich podnikateľskej činnosti, aj keď sú v prípade angažované úrady z viacerých krajín. Pri nedbalosti by mali príslušné orgány uplatňovať skôr prístup ex-post než ukladať všeobecnú povinnosť dohľadu nad PDS. Okrem toho by sa mali zamerať na dôsledky a zachovávať rozdiely medzi PZS a PDS tým, že nebudú podrobovať druhých menovaných požiadavkám, ktoré sa nenachádzajú v Smernici, ako napríklad kontrolné a záväzné nariadenia.

Bezpečnostné opatrenia pre PDS by mali byť odlišné od opatrení pre PZS, keďže podľa ustanovenia Smernice predstavujú omnoho nižšie bezpečnostné riziko. Politici by si mali uvedomiť čo je cieľom súladu medzi týmito službami, stanoviť medzinárodné štandardy pre celé odvetvie, predísť technologickým nariadeniam a dodržiavať práva PDS zakotvené v Smernici na definovanie bezpečnostných opatrení, ktoré by pre ich systémy boli najvhodnejšie. Ohlasovanie incidentov by malo byť na európskej úrovni zosúladené v najväčšej možnej miere, malo by sa sústrediť na udalosti, ktoré majú dopad na plynulosť služieb, zohľadniť flexibilitu v načasovaní hlásení a vytvoriť dôveryhodné prostredie, ktoré podporuje výmenu informácií bez toho, aby bola oznamovacia strana vystavená zvýšenej zodpovednosti.

Opatrenia uložené PZS ovplyvnia aj ďalšie odvetvia, keďže bezpečnostné opatrenia a ohlasovanie incidentov sa premietnu do zmluvných ustanovení. Uvedené platí najmä pre cloudové služby. Potom môžu byť PDS nepriamo predmetom vnútroštátnych zákonov v krajinách svojich zákazníkov a preto chceme, aby sa pri daných službách uplatňovali medzinárodne uznávané bezpečnostné opatrenia. Navrhujeme tiež maximálnu možnú koordináciu a synergiu medzi ohlasovacími požiadavkami pre PZS aj PDS, za predpokladu, že PDS budú pravdepodobne predmetom dvojitého oznamovania.

Smernica stanovuje zámer dosiahnuť vysokú spoločnú úroveň bezpečnosti sietí a informačných systémov na zlepšenie fungovania vnútorného trhu. Na dosiahnutie tohto vysokého cieľa by sa transpozície na národnej úrovni mali sústrediť na zosúladený medzinárodný prístup založený na riziku, ktorý prináša súkromným účastníkom trhu v danom odvetví flexibilitu, aby sa mohli prispôsobiť neustále sa meniacemu prostrediu, v ktorom čelia rôznym hrozbám, umožňuje kybernetickým orgánom sústrediť sa na riešenia najzávažnejších problémov a ukazuje, že riešenie bezhraničného problému musí byť globálne. Dúfame, že predmetná príručka bude po celý čas užitočnou pomôckou a radi odpovieme na vaše prípadné ďalšie otázky.