Směrnice NIS2: Jak to vypadá s implementací napříč Evropskou unií?

Směrnice NIS2 Jak to vypadá s implementací napříč Evropskou unií
Směrnice NIS2 je přelomovou součástí evropské legislativy v oblasti kybernetické bezpečnosti. Byla přijata již v roce 2022 a členské státy státy Evropské unie měly čas do 17. 10. 2024, aby přijaly „vlastní“ zákon, takzvaný transpoziční předpis, kterým směrnici implementují. Spolu s tím zároveň zavedou do své legislativy minimálně standardy kybernetické bezpečnosti určené právě směrnicí.
Většina států transpozici do termínu nestihla

Vzhledem k tomu, že termín transpozice již nastal, podívali jsme se na to, jak to s přijetím směrnice do lokálních úprav v rámci čenských států EU vypadá. Z naší rešerše vyplývá, že velké množství států tuto povinnost transponovat nestihnou. Běžný proces přípravy lokálního práva probíhá následujícím způsobem:

Státní autorita představí základní návrh novely zákona nebo nového zákona, kterým bude NIS 2 transponována.
Tento návrh projde veřejným připomínkovým řízením, po kterém je většinou upraven.
Poté jej čeká legislativní proces, jehož podoba záleží na daném státu.
Až poté je přijat, po jeho přijetí ovšem většinou musí ještě uplynout takzvaná legisvakanční lhůta, než začne být skutečně účinný.
1
2
3
4

Většina států EU má k dispozici alespoň návrh transponujícího zákona nebo novely, některé státy ovšem ani nezačaly a málokterá země má již plně přijatý a účinný zákon. Stav jednotlivých řízení jsme shrnuli níže.

Členské státy jsou rozděleny do tří skupin podle toho, jestli byla relevantní legislativa již přijata, zda existuje návrh relevantní legislativy nebo pokud stát ani nezačal s implementací. Tam, kde jsou návrhy veřejně dostupné je na relevantní návrh i připojen odkaz. V žádném členském státě bohužel nebyl vypracován dostupný návrh v angličtině.

Státy, ve kterých již byl přijat zákon transponující směrnici NIS2
Belgie

Zákon je k dispozici zde.

Dne 18. dubna 2024 přijal belgický parlament zákon, který je v souladu se směrnicí EU (transpoziční zákon). Momentálně se očekává vydání královského dekretu, který upřesní praktické podrobnosti provádění zákona. Belgie zřejmě rozšířila okruh povinných subjektů a přidala povinnosti např. k řízení rizik.

Chorvatsko

Zákon je k dispozici zde.

Již v únoru roku 2024 byl přijat Zákon o kybernetické bezpečnosti, který transponuje směrnici NIS2.

Maďarsko

Zákon je k dispozici zde.

Zákon, kterým byla transponována směrnice NIS2 začal platit 23. května 2023. Zároveň 30. června uplynula lhůta pro registraci entit do maďarského registru.

NIS2 v Česku

Jak to vypadá s implementací směrnice NIS2 do české právní úpravy? Přečtěte si článek, ve kterém nový zákon o kybernetické bezpečnosti rozebíráme.
Státy, ve kterých je k dispozici návrh zákona NIS2
Dánsko

Návrh zákona je k dispozici zde.

Dánsko míří na implementaci do března 2025. Dobré shrnutí toho, jak konkrétně bude zákon o kybernetické bezpečnosti v Dánsku fungovat je popsáno zde.

Finsko

Návrh zákona je k dispozici zde.

Finsko má již vypracovaný návrh zákona, který transponuje NIS2. Zákon musí být schválen parlamentem, ale očekává se, že do 18. října bude účinný.

Francie

Více informací zde.

Francie má zřejmě připravený návrh lokální legislativy, ale volby v létě jeho projednání oddálily. Informace o stavu přijetí francouzské legislativy a NIS2 obecně včetně dotazníku pro určení, zda bude vaše společnost spadat pod NIS2 již komunikují. Kdy ale dojde k finálnímu přijetí zákona není stanoveno.

Holandsko

Návrh zákona je k dispozici zde.

Holandsko již připravuje svůj zákon, ale sami přiznávají, že ho nestihnou implementovat do stanoveného deadlinu v říjnu 2024. Návrh zákona prošel veřejnou konzultací a bylo k němu odesláno celkem 112 připomínek. Nicméně ještě není projednáván parlamentem a zřejmě ho čeká velké množství změn. Kdy zákon bude je nepředvídatelné, záleží, jak rychle projde parlamentem.

Itálie

Návrh zákona je k dispozici zde.

10. června 2024 schválil italský parlament návrh legislativního nařízení, které má být v souladu s nařízením EU. Návrh však musí projít dalšími fázemi, včetně projednání, případných změn a schválení oběma komorami parlamentu, než se stane zákonem. Kdy dojde k  finalizaci je nepředvídatelné, záleží, jak rychle návrh projde parlamentem.

Irsko

Shrnutí k návrhu zákona je k dispozici zde.

Irsko již představilo verzi svého draftu a zřejmě skutečně míří na schválení v následujících dnech, tedy do deadlinu 17. října 2024. Návrh draftu je k dispozici zde (jedná se o odkaz s okamžitým stažením souboru).

Kypr

Návrh novely zákona je k dispozici zde.

Na Kypru byly ustanovení NIS2 transponovány do již existujícího zákona s názvem „Security of Networks and Information Systems Law (89(1)(2020)”.  Očekává se, že do 18. října bude novela tohoto zákona přijata.

Lucembursko

Návrh zákona je k dispozici zde.

V Lucembursku dojde k novele stávajícího kyberbezpečnostního zákona, který původně transponoval směrnici NIS.  Zákon je momentálně projednáván parlamentem a není tak zcela jasné, kdy bude přijat.

Malta

Návrh zákona je k dispozici zde.

Malta 6. září odhalila návrh zákona transponujícího NIS2 směrnici, nyní se tedy nachází ve fázi veřejné konzultace. Deadline 17. října tedy určitě nestihne a jak rychle tento návrh projde legislativním procesem taky není jisté.

Německo

Návrh zákona je k dispozici zde.

Německo pokračuje s implementací NIS2. Dne 26. června 2024 byl zveřejněn čtvrtý návrh zákona, který zavedl některé klíčové aktualizace a upřesnění, včetně odstranění některých ustanovení o odpovědnosti vedení. Navzdory předchozím očekáváním výrazného zpoždění Spolkové ministerstvo vnitra (BMI) proces urychluje. Říjen ovšem nestihnou a přesné datum taky není známé. Byl ovšem již přijat vládní návrh zákona, zřejmě tedy už nebude docházet k výraznější změnám.

Polsko

Návrh zákona je k dispozici zde.

Polské ministerstvo pro digitální záležitosti zveřejnilo 24. dubna 2024 návrh novely zákona o národním systému kybernetické bezpečnosti (NCSSA). Veřejné konzultace a meziresortní dohody k tomuto návrhu zákona probíhaly do 24. května 2024. Nyní zákon čeká cesta parlamentem. Polská bezpečnostní agentura informuje, že by zákon měl být přijat do konce roku.

Rumunsko

Návrh zákona je k dispozici zde.

Rumunsko zveřejnilo návrh zákona o kybernetické bezpečnosti. Tento návrh stále musí projít legislativním procesem, do 17. října teda přijat nebude a kdy k přijetí dojde stále není jisté.

Řecko

Návrh zákona je k dispozici zde.

V Řecku aktuálně probíhá veřejná konzultace návrhu zákona, který transponuje směrnici NIS2. Kdy dojde k finálnímu přijetí zákona není stanoveno.

Slovensko

Návrh zákona je k dispozici zde.

Dne 30. května byl do meziresortního připomínkového řízení předložen návrh novely zákona o kybernetické bezpečnosti. Momentálně o tomto návrhu jedná Slovenská vláda a není zcela jasné, jak se k němu postaví a kdy dojde k finálnímu přijetí zákona.

Slovinsko

Návrh zákona je k dispozici zde.

Návrh zákona, který transponuje NIS2 byl již zveřejněn, ale legislativní proces stále probíhá. Původní plán byl přijmout zákon do konce roku 2024, nicméně není jisté, jestli to bude dodrženo.

Švédsko

Dne 23. února 2023 jmenovala švédská vláda zvláštního vyšetřovatele, který měl navrhnout nezbytné úpravy švédského práva. Dne 5. března 2024 byla zveřejněna průběžná zpráva nazvaná „Nová pravidla kybernetické bezpečnosti“ (SOU 2024:18), která podrobně popisuje navrhované úpravy a zavedení nového zákona nazvaného zákon o kybernetické bezpečnosti. Nový zákon o kybernetické bezpečnosti, který má nahradit stávající zákon o NIS, má vstoupit v platnost 1. ledna 2025.

Státy, ve kterých není k dispozici návrh zákona NIS2
Bulharsko

Zatím neexistuje žádný návrh zákona a na první kroky transpozice se tak stále čeká.

Estonsko

Zatím neexistuje žádný návrh zákona a na první kroky transpozice se tak stále čeká.

Portugalsko

Zatím neexistuje žádný návrh zákona a na první kroky transpozice se tak stále čeká.

Španělsko

Zatím neexistuje žádný návrh zákona a na první kroky transpozice se tak stále čeká.

Zvláštní případy
Litva

Nepodařilo se nám dohledat, jestli byl zákon transponující NIS 2 přijat. Většina internetových zdrojů označuje Litvu jako v silně pokročilé fázi, nicméně jsme nenašli způsob, jak toto tvrzení potvrdit. Litevské Ministerstvo bezpečnosti které má v gesci přípravu zákona o něm neinformovalo, stejně tak litevský parlament.

Rakousko

Rakouský zákon o kybernetické bezpečnosti již byl v legislativním procesu, ale ve druhém čtení nebyl „prohlasován“, a tak bude změněn, než půjde do legislativního procesu znovu. Tento návrh totiž mimo jiné ovlivňoval Ústavní pořádek, proto potřeboval zvýšené kvorum pro přijetí, na které nedosáhl. Aktuálně je tedy k dispozici jen návrh zákona, který nebyl přijat.

Buďte připraveni

Pomůžeme Vám vytvořit základy, principy a dokumentaci pro efektivní zabezpečení Vašeho podnikání.

Další články

Deepfakes se díky rychlému pokroku v umělé inteligenci staly běžným nástrojem v rukou útočníků. Jak se proti nim mohou firmy účinně bránit?
Vyšší odpovědností za kyberbezpečnost znamená pro vedení společností také přísnější sankce za její porušení. Za co hrozí podle návrhu nové legislativy nejvyšší pokuty?
Nový zákon o kybernetické bezpečnosti významně ovlivní odpovědnost a povinnosti nejvyššího vedení společností. Za co bude top management nově odpovědný?

Newsletter

Chcete mít jistotu, že Vaše firma je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.

Kliknutím na odeslat vyjadřujete souhlas se zpracováním osobních údajů pro marketingové účely.