Informační společnost v březnu 2022

Komise představila nová pravidla na posílení kybernetické bezpečnosti, Rada a EP se předběžně shodly na aktu o digitálních trzích

• Komise navrhuje 2 nařízení, které mají posílit odolnost evropských institucí vůči kybernetickým hrozbám a incidentům
• Instituce se shodly na pravidlech pro velké online platformy

---

Komise představila nová pravidla na posílení kybernetické bezpečnosti

• Komise předložila návrh nových pravidel, jimiž se mají zřídit společná opatření v oblasti kybernetické bezpečnosti a zabezpečení informací ve všech orgánech, institucích a jiných subjektech EU.
• Součástí návrhu jsou 2 nařízení – nařízení o kybernetické bezpečnosti a nařízení o zabezpečení informací.
• Cílem návrhu je posílit odolnost evropských institucí a jejich schopnost reagovat na kybernetické hrozby a incidenty.
• Návrh taktéž usiluje o zajištění odolné a bezpečné veřejné správu EU v kontextu rostoucí nepřátelské činnosti v globálním kyberprostoru. 

Proposal for a Regulation of the European Parliament and of the Council on information security in the institutions, bodies, offices and agencies of the Union (COM(2022)199)

Návrh nařízení Evropského parlamentu a Rady, kterým se stanoví opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti v orgánech, institucích a jiných subjektech Unie (KOM(2022)122)

• Komise 22. 3. 2022 předložila návrh nových pravidel, jimiž se mají zřídit společná opatření v oblasti kybernetické bezpečnosti a zabezpečení informací ve všech orgánech, institucích a jiných subjektech EU. 

Pozadí

Na pozadí koronavirové pandemie a znepokojující geopolitické situace se společný přístup ke kybernetické bezpečnosti jeví jako neodmyslitelný krok, jež by EU měla učinit. Komise proto navrhla nařízení o kybernetické bezpečnosti a nařízení o zabezpečení informací. Tato nová pravidla stanoví společné priority, čímž se dále prohloubí meziinstitucionální spolupráce. Současně se tak má minimalizovat míra expozice rizikům a posiluje kultura bezpečnosti EU.

Rada ve svém usnesení z března 2021 zdůraznila význam pevného a soudržného bezpečnostního rámce v zájmu ochrany všech zaměstnanců orgánů a institucí EU, jejich údajů, komunikačních sítí, informačních systémů a rozhodovacích procesů. Toho lze dosáhnout pouze posílením odolnosti evropských institucí a zlepšením jejich kultury bezpečnosti (více v příspěvku „Rada přijala závěry týkající se strategie EU v oblasti kybernetické bezpečnosti”, Informační společnost v březnu 2021 a v příspěvku „Rada se dohodla na posílení kybernetické bezpečnosti a odolnosti v celé EU”, Informační společnost v prosinci 2021).

Návrh nařízení o kybernetické bezpečnosti

Na základě Strategie bezpečnostní unie EU a Strategie kybernetické bezpečnosti EU byl předložen návrh nařízení o kybernetické bezpečnosti, který má zajistit konzistentnost se stávajícími kyberneticko-bezpečnostními politikami EU, a to za plného souladu se těmito právními předpisy EU:

• směrnicí o bezpečnosti sítí a informačních systémů (směrnice NIS) a budoucí směrnicí o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii(směrnice NIS 2), kterou Komise navrhla v prosinci 2020.
• Aktem o kybernetické bezpečnosti,
• doporučením Komise o vybudování společné kybernetické jednotky,
• doporučením Komise o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (více v příspěvku „Byla uzavřena nová dohoda veřejného a soukromého sektoru o kybernetické bezpečnosti”, Informační společnost v červenci 2016, v příspěvku „EU chce zlepšit kybernetickou bezpečnost”, Informační společnost v prosinec 2020 a v příspěvku „Rada a EP se dohodly na pravidlech pro bezpečnější online prostředí v EU”, Informační společnost v prosinci 2020)

Návrh nařízení o zabezpečení informací

Vzhledem ke stále rostoucímu objemu citlivých neutajovaných i utajovaných informací EU, které orgány, instituce a jiné subjekty EU zpracovávají, chce navrhované nařízení o zabezpečení informací zvýšit jejich ochranu harmonizací rozdílných právních rámců orgánů, institucí a jiných subjektů EU v této oblasti. Návrh je v souladu s těmito pravidly:

• Strategie bezpečnostní unie EU obsahující významný závazek EU doplňovat úsilí členských států ve všech oblastech bezpečnosti;
• Klíčovým prvkem strategické agendy na období 2019–2024 přijaté Evropskou radou v červnu 2019 je chránit naši společnost před neustále se vyvíjejícími hrozbami, které jsou zaměřeny na informace, s nimiž orgány, instituce a jiné subjekty EU nakládají;
• Rada pro obecné záležitosti dospěla v prosinci 2019 k závěru, že orgány a instituce EU by měly za podpory členských států vypracovat a provést komplexní soubor opatření k zajištění své bezpečnosti (více v příspěvku „V EU začal platit akt o kybernetické bezpečnosti“, Informační společnost v červnu 2019)

Klíčové a sporné body

Nařízení o kybernetické bezpečnosti

Navrhované nařízení č. 122/2022 o kybernetické bezpečnosti by v této oblasti zřídilo rámec pro správu, řízení rizik a kontrolu. Dáe má vzniknout nový meziinstitucionální výbor pro kybernetickou bezpečnost, posílit se kapacity v oblasti kybernetické bezpečnosti, stimuovat realizace pravidelného posuzování vyspělosti kybernetické bezpečnosti a zlepšit kybernetická hygiena. Kromě toho by mělo dojít k rozšíření pravomocí týmu pro reakci na počítačové hrozby (CERT-EU), který působí v zájmu orgánů, institucí a jiných subjektů EU a funguje jako centrum pro výměnu informací o hrozbách a koordinaci reakce na kybernetické incidenty. Zároveň má poradní úlohu.

Klíčové prvky návrhu:

• posílit pravomoci centra CERT-EU a zajistit zdroje k realizaci jeho mandátu,
• vyžadovat od všech orgánů, institucí a jiných subjektů EU následující:
• vytvoření rámce pro správu, řízení rizik a kontrolu v oblasti kybernetické bezpečnosti,
• stanovení základní úrovně opatření v oblasti kybernetické bezpečnosti, jimiž se budou zjištěná rizika řešit,
• realizaci pravidelných hodnocení vyspělosti kybernetického zabezpečení,
• formulaci plánu na zlepšení kybernetické bezpečnosti evropských institucí, který musí schválit vedení daného subjektu,
• neprodlené sdílení informací týkajících se kybernetických incidentů s organizací CERT-EU,
• zřídit nový interinstitucionální výbor pro kybernetickou bezpečnost, který by dohlížel nad realizací daného nařízení a řídil činnost organizace CERT-EU a
• přejmenovat CERT-EU z „tým pro reakci na počítačové hrozby“ na „Centrum pro kybernetickou bezpečnost“, což je v souladu s vývojem v členských státech i celosvětově. Kratší název CERT-EU však bude z praktických důvodů zachován.

Nařízení o zabezpečení informací

V navrhovaném nařízení č. 119/2022 o zabezpečení informací je stanoven minimální soubor pravidel a norem pro zabezpečení informací, jež se mají vztahovat na všechny orgány, instituce a jiné subjekty EU a jimiž se má zajistit důslednější a silnější ochrana před vznikajícími hrozbami v této oblasti. Nová pravidla mají poskytnout stabilní základ pro bezpečnou výměnu informací mezi orgány, institucemi a jinými subjekty EU a také s členskými zeměmi. Měla by být založena na standardizovaných postupech a opatřeních na ochranu toků informací.

Návrh obsahuje tyto klíčové body:

• vytvoření účinné správy s cílem prohloubit spolupráci mezi všemi orgány, institucemi a jinými subjekty EU – konkrétně se má jednat o interinstitucionální koordinační skupinu pro bezpečnost informací,
• zavedení společného přístupu ke kategorizaci informací na základě úrovně důvěrnosti,
• modernizace opatření v oblasti zabezpečení informací, včetně digitální transformace a práce na dálku a
• harmonizace stávajících postupů a zajištění větší kompatibility mezi příslušnými systémy a zařízeními.

Předpokládaný další vývoj

Návrh nyní musí projít řádným legislativním procesem, při čemž ho musí schválit jak Rada tak EP. 

Odkazy

• Nařízení o kybernetické bezpečnosti
• Nařízení o zabezpečení informací
• Strategie bezpečnostní unie EU
• Strategie kybernetické bezpečnosti EU
• Směrnice NIS 
• Směrnice NIS 2
• Akt o kybernetické bezpečnosti
• Doporučení Komise o vybudování společné kybernetické jednotky
• Doporučení Komise o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize
• Strategická agenda na období 2019–2024

Rada a EP se předběžně shodly na aktu o digitálních trzích

• Rada a EP přijaly předběžnou politikou dohodu o aktu o digitálních trzích.
• Akt o digitálních trzích má definovat jasná pravidla pro velké online platformy.
• Spolu s aktem o službách (DSA) tvořít akt o digitálních trzích pilíře regulace digitálního prostoru.
• Cílem aktu o digitálních trzích je řešení ekonomických otázek vyplývajících ze shromažďování dat držitelem brány.

Návrh nařízení Evropského parlamentu a Rady o spravedlivých trzích otevřených hospodářské soutěži v digitálním odvětví (akt o digitálních trzích) (KOM(2022)842)

• Rada a EP 25. 3. 2022 dosáhly předběžné politické dohody o aktu o digitálních trzích, jehož cílem je zajistit, aby digitální odvětví bylo spravedlivější a konkurenceschopnější.

Pozadí

Komise předložila v prosinci 2020 balík opatření týkající se digitálních služeb, včetně aktu o digitálních službách a aktu o digitálních trzích (více v příspěcku „Komise navrhla ambiciózní reformu digitálního prostoru”, Informační společnost v prosinci 2020). V listopadu 2021, necelý rok po zahájení jednání v Radě, se členské státy jednomyslně dohodly na postoji Rady k aktu o digitálních trzích (více v příspěcku „Rada se dohodla na posílení hospodářské soutěže v digitální oblasti”, Informační společnost v listopadu 2021).

Spolunormotvůrci se shodli na tom, že ekonomické otázky vyplývající ze shromažďování dat držitelem brány budou řešeny v rámci aktu o digitálních trzích, zatímco širší společenské otázky by měly být řešeny v aktu o digitálních službách. Očekává se, že k dohodě o aktu o digitálních službách dojde také brzy (více v příspěcku „Rada se dohodla na postoji k DSA”, Informační společnost v listopadu 2021). Tyto akty budou 2 pilíři regulace digitálního prostoru, která respektuje evropské hodnoty a evropský model a stanoví rámec uzpůsobený pro dopad digitálních gigantů na ekonomiku a demokracii.

Klíčové a sporné body

Akt o digitálních trzích má definovat jasná pravidla pro velké online platformy. Jeho cílem je zajistit, aby žádná velká online platforma, která je v postavení „držitele brány (gatekeepera)“ vůči velkému počtu uživatelů, tohoto postavení nezneužívala na úkor podniků, které chtějí mít k těmto uživatelům přístup. Rada a EP se dohodly, že k tomu, aby platformu bylo možné považovat za držitele brány, musí v posledních 3 letech buď dosáhnout v EU ročního obratu ve výši minimálně 7,5 mld. €, nebo mít tržní ocenění ve výši minimálně 75 mld. € a musí mít nejméně 45 mil. koncových uživatelů za měsíc a nejméně 10 tis. komerčních uživatelů usazených v EU. Musí také kontrolovat 1 nebo více hlavních služeb platforem („core platform services“) v nejméně 3 členských státech. Tyto hlavní služby platforem zahrnují tržiště a obchody s aplikacemi, vyhledávače, sociální sítě, cloudové služby, reklamní služby, hlasové asistenty a internetové prohlížeče. Aby se zajistilo, že pravidla stanovená v navrhovaném nařízení jsou přiměřená, jsou z kvalifikace držitele brány až na několik výjimečných případů vyňaty MSP. S cílem zajistit progresivní povahu těchto povinností je rovněž stanovena kategorie „nově vznikajícího držitele brány“, což Komisi umožní uložit určité povinnosti podnikům, jejichž konkurenční postavení je prokázané, avšak dosud neustálené.

Držitelé brány musí zejména:

• zajistit právo uživatelů odhlásit se z hlavních služeb platforem za podmínek podobných přihlášení,
• u nejdůležitějšího softwaru (např. internetového prohlížeče) neinstalovat tento software jako výchozí při instalaci operačního systému,
• zajistit interoperabilitu základních funkcí svých služeb zasílání rychlých zpráv,
• umožnit vývojářům aplikací získat za spravedlivých podmínek přístup k pomocným funkcím chytrých telefonů (např. NFC čipu),
• poskytnout prodejcům přístup k údajům o účinnosti jejich marketingu nebo reklam na platformě,
• informovat Komisi o akvizicích a fúzích, které provádějí.

Již však nebudou moci:

• klasifikovat své vlastní produkty nebo služby příznivěji než produkty nebo služby jiných účastníků trhu (autopreference),
• opětovně využívat soukromé údaje shromážděné v rámci poskytování jedné služby pro účely jiné služby,
• vytvářet nespravedlivé podmínky pro komerční uživatele,
• předinstalovávat určité softwarové aplikace,
• požadovat od vývojářů aplikací, aby používali určité služby (např. platební systém nebo poskytovatele identity), pokud chtějí být zařazeni do nabídky obchodů s aplikacemi.

Pokud držitel brány poruší pravidla stanovená právními předpisy, může mu být uložena pokuta až do výše 10 % jeho celosvětového obratu. V případě opakovaného porušení mu může být uložena pokuta až do výše 20 % celosvětového obratu. Pokud držitel brány jedná v rozporu s aktem o digitálních trzích systematicky, tj. pokud poruší pravidla 3krát či vícekrát za 8 let, Komise zahájit šetření trhu a v případě potřeby uložit opatření k nápravě jednání nebo strukturální nápravná opatření. Pokud má platforma zásadní důvody k nesouhlasu se svým určením jako držitele brány, může toto určení napadnout zvláštním postupem, který Komisi umožní platnost argumentů ověřit.

V zájmu zajištění vysoké úrovně harmonizace na vnitřním trhu je jediným orgánem pověřeným prosazováním uvedeného navrhovaného nařízení Komise. Komise by měla moci rozhodnout o zahájení dialogu o regulačních opatřeních s cílem zajistit, aby držitelé brány jasně pochopili pravidla, která musí dodržovat, a v případě potřeby jejich uplatňování upřesnit. Měl by být zřízen poradní výbor a skupina na vysoké úrovni, které budou Komisi nápomocny a usnadní jí práci. Členské státy by však měly moci vnitrostátní orgány pro hospodářskou soutěž zmocnit k tomu, aby zahajovaly šetření možných porušení povinností a výsledná zjištění předávaly Komisi. Aby se zajistilo, že držitelé brány nebudou pravidla aktu o digitálních trzích porušovat, obsahuje navrhované nařízení rovněž ustanovení proti obcházení.

Předpokládaný další vývoj

Předběžnou dohodu musí nyní schválit Rada a EP. Projednávané nařízení musí být provedeno do 6 měsíců od jeho vstupu v platnost. 

Odkazy

• Akt o digitálních trzích
• Akt o službách (DSA)
• Akt o digitálních trzích: otázky a odpovědi
• Akt o digitálních trzích: informační přehled