- Tobiáš Trnka
Směrnice NIS2 je přelomovou součástí evropské legislativy v oblasti kybernetické bezpečnosti. Byla přijata již v roce 2022 a členské státy státy Evropské unie měly čas do 17. 10. 2024, aby přijaly „vlastní“ zákon, takzvaný transpoziční předpis, kterým směrnici implementují. Spolu s tím zároveň zavedou do své legislativy minimálně standardy kybernetické bezpečnosti určené právě směrnicí.
Většina států transpozici do termínu nestihla
Vzhledem k tomu, že termín transpozice již nastal, podívali jsme se na to, jak to s přijetím směrnice do lokálních úprav v rámci čenských států EU vypadá. Z naší rešerše vyplývá, že velké množství států tuto povinnost transponovat nestihnou. Běžný proces přípravy lokálního práva probíhá následujícím způsobem:
Většina států EU má k dispozici alespoň návrh transponujícího zákona nebo novely, některé státy ovšem ani nezačaly a málokterá země má již plně přijatý a účinný zákon. Stav jednotlivých řízení jsme shrnuli níže.
Členské státy jsou rozděleny do tří skupin podle toho, jestli byla relevantní legislativa již přijata, zda existuje návrh relevantní legislativy nebo pokud stát ani nezačal s implementací. Tam, kde jsou návrhy veřejně dostupné je na relevantní návrh i připojen odkaz. V žádném členském státě bohužel nebyl vypracován dostupný návrh v angličtině.
Státy, ve kterých již byl přijat zákon transponující směrnici NIS2
Belgie
Dne 18. dubna 2024 přijal belgický parlament zákon, který je v souladu se směrnicí EU (transpoziční zákon). Momentálně se očekává vydání královského dekretu, který upřesní praktické podrobnosti provádění zákona. Belgie zřejmě rozšířila okruh povinných subjektů a přidala povinnosti např. k řízení rizik.
Chorvatsko
Již v únoru roku 2024 byl přijat Zákon o kybernetické bezpečnosti, který transponuje směrnici NIS2.
Maďarsko
Zákon, kterým byla transponována směrnice NIS2 začal platit 23. května 2023. Zároveň 30. června uplynula lhůta pro registraci entit do maďarského registru.
NIS2 v Česku
Státy, ve kterých je k dispozici návrh zákona NIS2
Dánsko
Návrh zákona je k dispozici zde.
Dánsko míří na implementaci do března 2025. Dobré shrnutí toho, jak konkrétně bude zákon o kybernetické bezpečnosti v Dánsku fungovat je popsáno zde.
Finsko
Návrh zákona je k dispozici zde.
Finsko má již vypracovaný návrh zákona, který transponuje NIS2. Zákon musí být schválen parlamentem, ale očekává se, že do 18. října bude účinný.
Francie
Francie má zřejmě připravený návrh lokální legislativy, ale volby v létě jeho projednání oddálily. Informace o stavu přijetí francouzské legislativy a NIS2 obecně včetně dotazníku pro určení, zda bude vaše společnost spadat pod NIS2 již komunikují. Kdy ale dojde k finálnímu přijetí zákona není stanoveno.
Holandsko
Návrh zákona je k dispozici zde.
Holandsko již připravuje svůj zákon, ale sami přiznávají, že ho nestihnou implementovat do stanoveného deadlinu v říjnu 2024. Návrh zákona prošel veřejnou konzultací a bylo k němu odesláno celkem 112 připomínek. Nicméně ještě není projednáván parlamentem a zřejmě ho čeká velké množství změn. Kdy zákon bude je nepředvídatelné, záleží, jak rychle projde parlamentem.
Itálie
Návrh zákona je k dispozici zde.
10. června 2024 schválil italský parlament návrh legislativního nařízení, které má být v souladu s nařízením EU. Návrh však musí projít dalšími fázemi, včetně projednání, případných změn a schválení oběma komorami parlamentu, než se stane zákonem. Kdy dojde k finalizaci je nepředvídatelné, záleží, jak rychle návrh projde parlamentem.
Irsko
Shrnutí k návrhu zákona je k dispozici zde.
Irsko již představilo verzi svého draftu a zřejmě skutečně míří na schválení v následujících dnech, tedy do deadlinu 17. října 2024. Návrh draftu je k dispozici zde (jedná se o odkaz s okamžitým stažením souboru).
Kypr
Návrh novely zákona je k dispozici zde.
Na Kypru byly ustanovení NIS2 transponovány do již existujícího zákona s názvem „Security of Networks and Information Systems Law (89(1)(2020)”. Očekává se, že do 18. října bude novela tohoto zákona přijata.
Lucembursko
Návrh zákona je k dispozici zde.
V Lucembursku dojde k novele stávajícího kyberbezpečnostního zákona, který původně transponoval směrnici NIS. Zákon je momentálně projednáván parlamentem a není tak zcela jasné, kdy bude přijat.
Malta
Návrh zákona je k dispozici zde.
Malta 6. září odhalila návrh zákona transponujícího NIS2 směrnici, nyní se tedy nachází ve fázi veřejné konzultace. Deadline 17. října tedy určitě nestihne a jak rychle tento návrh projde legislativním procesem taky není jisté.
Německo
Návrh zákona je k dispozici zde.
Německo pokračuje s implementací NIS2. Dne 26. června 2024 byl zveřejněn čtvrtý návrh zákona, který zavedl některé klíčové aktualizace a upřesnění, včetně odstranění některých ustanovení o odpovědnosti vedení. Navzdory předchozím očekáváním výrazného zpoždění Spolkové ministerstvo vnitra (BMI) proces urychluje. Říjen ovšem nestihnou a přesné datum taky není známé. Byl ovšem již přijat vládní návrh zákona, zřejmě tedy už nebude docházet k výraznější změnám.
Polsko
Návrh zákona je k dispozici zde.
Polské ministerstvo pro digitální záležitosti zveřejnilo 24. dubna 2024 návrh novely zákona o národním systému kybernetické bezpečnosti (NCSSA). Veřejné konzultace a meziresortní dohody k tomuto návrhu zákona probíhaly do 24. května 2024. Nyní zákon čeká cesta parlamentem. Polská bezpečnostní agentura informuje, že by zákon měl být přijat do konce roku.
Rumunsko
Návrh zákona je k dispozici zde.
Rumunsko zveřejnilo návrh zákona o kybernetické bezpečnosti. Tento návrh stále musí projít legislativním procesem, do 17. října teda přijat nebude a kdy k přijetí dojde stále není jisté.
Řecko
Návrh zákona je k dispozici zde.
V Řecku aktuálně probíhá veřejná konzultace návrhu zákona, který transponuje směrnici NIS2. Kdy dojde k finálnímu přijetí zákona není stanoveno.
Slovensko
Návrh zákona je k dispozici zde.
Dne 30. května byl do meziresortního připomínkového řízení předložen návrh novely zákona o kybernetické bezpečnosti. Momentálně o tomto návrhu jedná Slovenská vláda a není zcela jasné, jak se k němu postaví a kdy dojde k finálnímu přijetí zákona.
Slovinsko
Návrh zákona je k dispozici zde.
Návrh zákona, který transponuje NIS2 byl již zveřejněn, ale legislativní proces stále probíhá. Původní plán byl přijmout zákon do konce roku 2024, nicméně není jisté, jestli to bude dodrženo.
Švédsko
Dne 23. února 2023 jmenovala švédská vláda zvláštního vyšetřovatele, který měl navrhnout nezbytné úpravy švédského práva. Dne 5. března 2024 byla zveřejněna průběžná zpráva nazvaná „Nová pravidla kybernetické bezpečnosti“ (SOU 2024:18), která podrobně popisuje navrhované úpravy a zavedení nového zákona nazvaného zákon o kybernetické bezpečnosti. Nový zákon o kybernetické bezpečnosti, který má nahradit stávající zákon o NIS, má vstoupit v platnost 1. ledna 2025.
Státy, ve kterých není k dispozici návrh zákona NIS2
Bulharsko
Zatím neexistuje žádný návrh zákona a na první kroky transpozice se tak stále čeká.
Estonsko
Zatím neexistuje žádný návrh zákona a na první kroky transpozice se tak stále čeká.
Portugalsko
Zatím neexistuje žádný návrh zákona a na první kroky transpozice se tak stále čeká.
Španělsko
Zatím neexistuje žádný návrh zákona a na první kroky transpozice se tak stále čeká.
Zvláštní případy
Litva
Nepodařilo se nám dohledat, jestli byl zákon transponující NIS 2 přijat. Většina internetových zdrojů označuje Litvu jako v silně pokročilé fázi, nicméně jsme nenašli způsob, jak toto tvrzení potvrdit. Litevské Ministerstvo bezpečnosti které má v gesci přípravu zákona o něm neinformovalo, stejně tak litevský parlament.
Rakousko
Rakouský zákon o kybernetické bezpečnosti již byl v legislativním procesu, ale ve druhém čtení nebyl „prohlasován“, a tak bude změněn, než půjde do legislativního procesu znovu. Tento návrh totiž mimo jiné ovlivňoval Ústavní pořádek, proto potřeboval zvýšené kvorum pro přijetí, na které nedosáhl. Aktuálně je tedy k dispozici jen návrh zákona, který nebyl přijat.
