Informační společnost v květnu 2022

Komise navrhuje nová pravidla na ochranu dětí na internetu, Instituce se předběžně dohodly na sítě center pro bezpečnější internet, Rada se dohodla na postoji k politickému programu Cesta k digitální dekádě, Instituce dosáhly předběžné dohody o nařízení DORA

  • Komise přijala novou Evropskou strategii pro lepší internet pro děti (BIK+)
  • Cílem opatření je dále zlepšit odolnost veřejného i soukromého sektoru i EU jako celku a jejich schopnost reagovat na incidenty.
  • Členské státy se dohodly na mandátu pro jednání o politickém programu do roku 2030 nazvaném Cesta k digitální dekádě.
  • Nařízení DORA má v EU zajistit odolný finanční sektor, který bude schopen provádět operace i v případě závažného narušení provozu.

Komise navrhuje nová pravidla na ochranu dětí na internetu

  • Komise navrhla nové právní předpisy EU pro předcházení pohlavnímu zneužívání dětí na internetu a boj proti němu.
  • Navrhovaná pravidla mají uložit poskytovatelům služeb povinnost v rámci svých platforem odhalovat, oznamovat a odstraňovat dětskou pornografii.
  • Návrh vychází ze Strategie EU pro účinnější boj proti pohlavnímu zneužívání dětí,  která stanovila komplexní reakci na rostoucí hrozbu pohlavního zneužívání dětí off-line i on-line, a to zlepšením prevence, vyšetřování a pomoci obětem.
  • Poskytovatelé mají muset posuzovat a snižovat riziko zneužití svých služeb a přijatá opatření musí být úměrná tomuto riziku a podléhat přísným podmínkám a zárukám.
  • Komise přijala novou Evropskou strategii pro lepší internet pro děti (BIK+), která má za cíl zlepšit digitální služby přiměřené věku a zajistit, aby každé dítě bylo na internetu chráněno a respektováno.
  • Cílem nové BIK+ je zajistit přístupné, věkově přiměřené a informativní online služby a obsah, které jsou v nejlepším zájmu dětí.

Proposal for a regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse (COM(2022) 209)

Pozadí

Boj proti pohlavnímu zneužívání dětí

Boj proti pohlavnímu zneužívání dětí je pro Komisi dlouhodobě prioritou. V roce 2021 bylo Národnímu centru pro pohřešované a zneužívané děti v USA předloženo 29 mil. oznámení. Vzhledem k tomu, že na úrovni EU neexistují harmonizovaná pravidla, musí se provozovatelé platforem sociálních médií a poskytovatelé herních, hostingových a on-line služeb řídit rozdílnými pravidly. Někteří poskytovatelé dobrovolně využívají technologie k odhalování, oznamování a odstraňování dětské pornografie ve svých službách. Pohlavní zneužívání dětí je všudypřítomný problém. Jen v roce 2021 bylo na celém světě nahlášeno 85 mil. obrazových materiálů a videí zobrazujících pohlavní zneužívání dětí a mnoho dalších jich zůstává nehlášeno. Pandemie COVID-19 tento problém ještě zhoršila, přičemž nadace Internet Watch v roce 2021 ve srovnání s předchozím rokem zaznamenala 64% nárůst počtu oznámení o potvrzeném pohlavním zneužívání dětí. Současný systém založený na dobrovolném odhalování a oznamování ze strany společností se ukázal jako nedostatečný pro odpovídající ochranu dětí a každopádně již nebude k dispozici, jakmile vyprší platnost prozatímního řešení. Až 95 % všech oznámení o pohlavním zneužívání dětí obdržených v roce 2020 pocházelo od 1 společnosti, a to navzdory jasným důkazům o tom, že problém neexistuje pouze na jedné platformě. Přijatá opatření se však značně liší a dobrovolná opatření se při řešení tohoto problému ukázala jako nedostatečná. Návrh č. 209/2022 vychází z aktu o digitálních službách a doplňuje jej o ustanovení k řešení specifických problémů, které představuje pohlavní zneužívání dětí na internetu (více v příspěvku „Komise navrhla ambiciózní reformu digitálního prostoru”, Informační společnost v prosinci 2020 a v příspěvku „Instituce dosáhly dohody v zájmu bezpečnějšího online prostředí”, Informační společnost v dubnu 2022). Návrh vychází ze Strategie EU pro účinnější boj proti pohlavnímu zneužívání dětí z července 2020, která stanovila komplexní reakci na rostoucí hrozbu pohlavního zneužívání dětí off-line i on-line, a to zlepšením prevence, vyšetřování a pomoci obětem (více v příspěvku „Komise pokračuje v provádění bezpečnostní unie”, Spravedlnost, svoboda a bezpečnost v červenci 2020). Přichází rovněž poté, co Komise v březnu 2021 předložila Strategii EU o právech dítěte, v níž navrhla posílená opatření na ochranu dětí před všemi formami násilí, včetně zneužívání na internetu.

Strategie na ochranu dětí v online prostředí

Strategie vychází z Evropské strategie pro internet lépe uzpůsobený dětem, která byla přijata v roce 2012. Uvedená strategie ovlivnila vnitrostátní politiky v celé EU a dosáhla uznání i na mezinárodní úrovni: například každoroční Den bezpečnějšího internetu se slaví po celém světě. Opatření zaměřená na boj proti falešným zprávám, kybernetické šikaně a vystavení škodlivému a nezákonnému obsahu každoročně oslovují tis. škol a mil. dětí, rodičů a učitelů. Za tímto účelem se více než 750 dětí a mladých lidí v přibližně 70 konzultačních setkáních pořádaných centry pro bezpečnější internet v celé EU na jaře 2021 podělilo o své názory na online bezpečnost, obsah a dovednosti. Rovněž se pořádaly průzkumy a další konzultace s rodiči, učiteli, výzkumnými pracovníky, národními odborníky na bezpečnost dětí na internetu a partnery z odvětví. Výsledky, které byly podkladem pro BIK+, ukazují, že děti a mladí lidé často dobře rozumí online rizikům, jako jsou škodlivý obsah, kyberšikana nebo dezinformace, a online příležitostem. Mezi faktory, které vedou k digitálnímu vyloučení, patří chudoba, nedostupnost připojení a vhodných zařízení a nedostatečné digitální dovednosti nebo sebevědomí. V posledních 10 letech se dramaticky změnily digitální technologie i způsob, jak je děti využívají. Většina dětí používá chytré telefony každý den a téměř dvakrát více než před 10 lety. Také je využívají od mnohem mladšího věku (viz zpráva EU Kids online 2020). Moderní zařízení přinášejí příležitosti a výhody. Umožňují dětem komunikovat s ostatními, učit se online a bavit se. Tyto přínosy však nejsou bez rizik, jako je nebezpečí vystavení dezinformacím, kyberšikaně (viz studie JRC) nebo škodlivému a nezákonnému obsahu, před nímž je třeba děti chránit. Strategie navazuje na nedávno dosaženou významnou předběžnou politickou dohodu o aktu o digitálních službách, který obsahuje nová opatření na ochranu nezletilých osob a zakazuje online platformám zobrazovat nezletilým osobám cílenou reklamu založenou na profilování.

Klíčové a sporné body

Boj proti pohlavnímu zneužívání dětí

Komise navrhuje nové právní předpisy EU pro předcházení pohlavnímu zneužívání dětí na internetu a boj proti němu. Aby bylo možné účinně řešit problém zneužívání on-line služeb k pohlavnímu zneužívání dětí, je zapotřebí zavést jasná pravidla s jednoznačnými podmínkami a zárukami. Navrhovaná pravidla mají uložit poskytovatelům služeb povinnost v rámci svých platforem odhalovat, oznamovat a odstraňovat dětskou pornografii. Poskytovatelé budou muset posuzovat a snižovat riziko zneužití svých služeb a přijatá opatření musí být úměrná tomuto riziku a podléhat přísným podmínkám a zárukám. Nové nezávislé středisko EU pro boj proti pohlavnímu zneužívání dětí (dále též „středisko EU“) má poskytovat informace o zjištěných materiálech, přijímat a analyzovat oznámení od poskytovatelů (aby bylo možné rozpoznat chybná oznámení a nepředávat je donucovacím orgánům), rychle předávat relevantní oznámení pro účely vymáhání práva a poskytovat podporu obětem. Nová pravidla mají pomáhat chránit děti před dalším zneužíváním, zabránit opětovnému výskytu inkriminovaných materiálů on-line a postavit pachatele před soud. Tato pravidla mají konkrétně zahrnovat:

  • Povinné posouzení rizik a opatření k jejich zmírnění: Poskytovatelé hostingových nebo interpersonálních komunikačních služeb budou muset posoudit riziko zneužití svých služeb k šíření dětské pornografie nebo navazování kontaktů s dětmi za účelem pohlavního zneužívání (tzv. „grooming“). Poskytovatelé mají muset navrhnout opatření ke zmírnění rizik.
  • Povinnosti cíleného odhalování na základě příkazu k odhalení: Členské státy mají muset určit vnitrostátní orgány pověřené přezkumem posouzení rizik. Pokud tyto orgány zjistí, že přetrvává významné riziko, mohou požádat soud nebo nezávislý vnitrostátní orgán o vydání příkazu k odhalení známého nebo nového materiálu souvisejícího s pohlavním zneužíváním dětí nebo groomingu. 
  • Silné záruky týkající se odhalování: Společnosti, které obdržely příkaz k odhalení, budou moci obsah odhalit pouze pomocí ukazatelů pohlavního zneužívání dětí, které ověřilo a poskytlo středisko EU. Detekční technologie musí být používány pouze k odhalování pohlavního zneužívání dětí. Poskytovatelé budou mají zavést technologie, které nejméně narušují soukromí.
  • Jasné povinnosti týkající se podávání zpráv: Poskytovatelé, kteří odhalili pohlavní zneužívání dětí na internetu, budou muset tuto skutečnost oznámit středisku EU.
  • Účinné odstraňování: Vnitrostátní orgány mohou vydat příkazy k odstranění, pokud materiál související s pohlavním zneužíváním dětí není rychle odstraněn. Poskytovatelé přístupu k internetu mají být povinni znemožnit přístup k obrazovým a video materiálům, které nelze odstranit, např. proto, že jsou umístěny na platformách mimo EU v nespolupracujících jurisdikcích.
  • Lepší ochrana před „groomingem“: Podle návrhu musí obchody s aplikacemi zajistit, aby si děti nemohly stahovat aplikace, u nichž existuje zvýšené riziko, že je budou kontaktovat predátoři.
  • Spolehlivé mechanismy dohledu a soudní opravné prostředky: Příkazy k odhalení mají vydávat nezávislé vnitrostátní orgány. Aby se minimalizovalo riziko nesprávné identifikace a nesprávného nahlášení, bude oznámení o podezření na pohlavní zneužívání dětí na internetu před předáním orgánům činným v trestním řízení a Europolu ověřovat středisko EU. Poskytovatelé i uživatelé mají mít právo soudně napadnout jakékoli opatření, které se jich týká.

Nové středisko EU má pomáhat:

  • poskytovatelům on-line služeb odhalovat, oznamovat, odstraňovat a blokovat obsah související s pohlavním zneužívání dětí na internetu, a to tím, že poskytne indikátory pro odhalování sexuálního zneužívání dětí a bude přijímat hlášení od poskytovatelů,
  • vnitrostátním orgánům činným v trestním řízení a Europolu tím, že bude kontrolovat oznámení od poskytovatelů s cílem zajistit, aby nebyla předkládána omylem, a tím, že tato oznámení rychle předá donucovacím orgánům. 
  • členským státům tím, že bude fungovat jako znalostní centrum pro osvědčené postupy v oblasti prevence a pomoci obětem uplatňující přístup založený na důkazech.
  • obětem tím, že jim pomůže odstranit materiály znázorňující jejich zneužívání.

Strategie na ochranu dětí v online prostředí

Komise přijala novou Evropskou strategii pro lepší internet pro děti (BIK+), která má za cíl zlepšit digitální služby přiměřené věku a zajistit, aby každé dítě bylo na internetu chráněno a respektováno. 

Nová BIK+ stanoví pro digitální dekádu vizi týkající se dětí a mládeže, která je založena na 3 klíčových pilířích:

  • Bezpečné používání digitálních médií, které by zajišťovalo ochranu dětí před škodlivým a nezákonným online obsahem, chováním a riziky a zlepšuje kvalitu jejich života díky digitálnímu prostředí, které je bezpečné a přiměřené jejich věku
  • Aby byl digitální svět pro děti a mladé lidi bezpečný, Komise plánuje podpořit vytvoření unijního kodexu pro design odpovídající věku a požádá o evropskou normu pro ověřování věku online, to vše do roku 2024. Rovněž do roku 2023 plánuje přezkoumat, jak využít plánovanou evropskou peněženku digitální identity k ověřování věku, podpořit rychlé oznamování nezákonného a škodlivého obsahu a zajistit jednotné harmonizované číslo „116 111“ nabízející pomoc obětem kybernetické šikany.
  • Posílení postavení v digitální oblasti, aby děti získaly nezbytné dovednosti a kompetence, které jim umožní činit informovaná rozhodnutí a pohybovat se v online prostředí bezpečně a odpovědně.

S cílem posílit postavení dětí v digitálním prostředí má Komise prostřednictvím sítě center pro bezpečnější internet, která jsou páteří strategie, pořádat kampaně pro děti, učitele a rodiče zaměřené na mediální gramotnost. Učitelům rovněž nabídne výukové moduly na portálu betterinternetforkids.eu. Síť center pro bezpečnější internet v členských státech, která působí na vnitrostátní a místní úrovni, posílí podporu pro děti ve zranitelném postavení a pomůže řešit digitální propast v oblasti dovedností. V zájmu vyšší účasti dětí na digitálním prostředí bude Komise například podporovat, aby zkušenější děti poučily ostatní děti o online příležitostech a rizicích, a každé 2 roky má pořádat dětmi vedené hodnocení strategie. Komise vyzývá členské státy a digitální odvětví, aby se zapojily do realizace těchto klíčových pilířů a podpořily související opatření.

Předpokládaný další vývoj

Nyní je na EP a Radě, aby návrh nařízení č. 209/2022 odsouhlasily. Jakmile bude nové nařízení přijato, nahradí stávající prozatímní nařízení.

Odkazy

Instituce se předběžně dohodly na sítě center pro bezpečnější internet

  • Rada a EP se předběžně dohodly na opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v celé EU.
  • Cílem opatření je dále zlepšit odolnost veřejného i soukromého sektoru i EU jako celku a jejich schopnost reagovat na incidenty.
  • Jakmile bude přijata, nahradí nová směrnice NIS 2 stávající pravidla pro bezpečnost sítí a informačních systémů (směrnice o bezpečnosti sítí a informací).
  • Směrnice NIS 2 má stanovit základ pro opatření k řízení kybernetických bezpečnostních rizik a povinnosti hlášení pro všechna odvětví, na něž se směrnice vztahuje, jako je energetika, doprava, zdravotnictví a digitální infrastruktura. 

Návrh směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o zrušení směrnice (EU) 2016/1148 (COM(2020)823)

  • Instituce se 13. 5. 2022 dohodly na opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v celé EU s cílem dále zlepšit odolnost veřejného i soukromého sektoru i EU jako celku a jejich schopnost reagovat na incidenty. Komise uvítala politickou dohodu, které bylo mezi EP a členskými státy EU dosaženo ohledně směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (směrnice NIS 2).

Pozadí

Kybernetická bezpečnost je jednou z hlavních priorit Komise a základním kamenem digitální a propojené Evropy. 1. právní předpis EU o kybernetické bezpečnosti, směrnice č. 1148/2016 o bezpečnosti sítí a informací, která vstoupila v platnost v roce 2016, pomohl dosáhnout společné vysoké úrovně bezpečnosti sítí a informačních systémů v celé EU. V rámci svého klíčového cíle připravit EU na digitální věk navrhla Komise v prosinci roku 2020 revizi směrnice o bezpečnosti sítí a informací (více v příspěvku „EU chce zlepšit kybernetickou bezpečnost” Informační společnost v prosinci 2020). Akt EU o kybernetické bezpečnosti, který je v platnosti od roku 2019, vybavil EU rámcem certifikace kybernetické bezpečnosti produktů, služeb a procesů a posílil mandát Agentury EU pro kybernetickou bezpečnost (ENISA).

Klíčové a sporné body

Jakmile bude přijata, má nová směrnice NIS 2 nahradit stávající pravidla pro bezpečnost sítí a informačních systémů (více v příspěvku „Rada se dohodla na posílení kybernetické bezpečnosti a odolnosti v celé EU”, v příspěvku Informační společnost v prosinci 2021 a v příspěvku „Komise představila nová pravidla na posílení kybernetické bezpečnosti” Informační společnost v březnu 2022). Směrnice NIS 2 má stanovit základ pro opatření k řízení kybernetických bezpečnostních rizik a povinnosti hlášení pro všechna odvětví, na něž se směrnice vztahuje, jako je energetika, doprava, zdravotnictví a digitální infrastruktura. Cílem revidované směrnice je odstranit rozdíly v požadavcích na kybernetickou bezpečnost a v provádění opatření v oblasti kybernetické bezpečnosti v různých členských státech. Za tímto účelem má stanovit minimální pravidla týkající se regulačního rámce a mechanismy účinné spolupráce mezi příslušnými orgány v každém členském státě. Má aktualizovat seznam odvětví a činností, na něž se vztahují povinnosti v oblasti kybernetické bezpečnosti, a stanovit nápravná opatření a sankce k zajištění prosazování. Na základě směrnice by měla být formálně zřízena Evropská síť styčných organizací pro řešení kybernetických krizí (EU-CyCLONe), která by podporovala koordinované řízení rozsáhlých kybernetických bezpečnostních incidentů. Zatímco podle staré směrnice o bezpečnosti sítí a informací byly členské státy odpovědné za určení toho, které subjekty splňují kritéria pro zařazení mezi provozovatele základních služeb, nová směrnice o bezpečnosti sítí a informací zavádí pravidlo velikostního omezení. To znamená, že do oblasti působnosti směrnice budou spadat všechny střední a velké subjekty působící v odvětvích nebo poskytující služby, na něž se směrnice vztahuje. Ačkoli dohoda EP a Rady toto obecné pravidlo zachovává, předběžně dohodnuté znění obsahuje dodatečná ustanovení k zajištění proporcionality, vyšší úrovně řízení rizik a jednoznačných kritérií kritičnosti pro určení dotčených subjektů. Znění rovněž stanovuje, že se směrnice nebude vztahovat na subjekty vykonávající činnosti v oblastech, jako je obrana nebo národní bezpečnost, veřejná bezpečnost, prosazování práva a soudnictví. Z oblasti působnosti jsou rovněž vyloučeny parlamenty a centrální banky. Vzhledem k tomu, že i orgány veřejné správy jsou častým terčem kybernetických útoků, má se systém NIS 2 vztahovat na ústřední i regionální subjekty veřejné správy. Členské státy mohou navíc rozhodnout, že se směrnice vztahuje i na dotčené subjekty na místní úrovni. Směrnice NIS 2 rovněž posiluje požadavky na kybernetickou bezpečnost ve společnostech, zabývá se bezpečností dodavatelských řetězců a dodavatelských vztahů a zavádí odpovědnost vedoucích osob za neplnění povinností v oblasti kybernetické bezpečnosti. Zjednodušuje oznamovací povinnosti, zavádí přísnější opatření dohledu pro vnitrostátní orgány i přísnější požadavky na vymáhání a usiluje o harmonizaci sankčních režimů mezi členskými státy. Dále tato směrnice má pomoci zvýšit sdílení informací a spolupráci v oblasti řešení kybernetických krizí na vnitrostátní úrovni i na úrovni EU.

Předpokládaný další vývoj

Uzavřenou předběžnou dohodu musí nyní Rada a EP formálně schválit. Pokud jde o Radu, francouzské předsednictví má v úmyslu dohodu předložit brzy ke schválení COREPERem. Návrh nyní poputuje v prvním čtení do EP. Směrnice by měla vstoupit v platnost 20 dní po zveřejnění v Úředním věstníku a poté budou muset členské státy transponovat nové prvky směrnice do vnitrostátního práva. Členské státy budou mít 21 měsíců na to, aby směrnici provedly ve svých právních řádech.

Odkazy

Krátce…

Rada se dohodla na postoji k politickému programu Cesta k digitální dekádě

  • Členské státy se dohodly na mandátu pro jednání o politickém programu do roku 2030 nazvaném Cesta k digitální dekádě.
  • Cílem znění Rady je posílit čelní postavení EU v digitální sféře podporou udržitelných digitálních politik, jež podporují začlenění a jsou ku prospěchu občanů a podniků.

Rada se 11. 5. 2022 dohodla na mandátu pro jednání o návrhu nařízení č. 574/2021 o politickém programu do roku 2030 nazvaném Cesta k digitální dekádě s cílem zajistit, aby EU splnila své cíle ohledně digitální transformace v souladu se svými hodnotami. Cílem daného znění je posílit čelní postavení EU v digitální sféře podporou udržitelných digitálních politik (více v příspěvku „Komise navrhuje prohlášení o digitálních právech a zásadách”, Informační společnost v lednu 2022). V rámci znění Rady byla změněna četnost interakcí s cílem přejít na 2-letý cyklus spolupráce mezi členskými státy a Komisí, přičemž bylo zachováno roční podávání zpráv o stavu digitální dekády. Při této příležitosti bylo rovněž upřesněno, že doporučení Komise nejsou pro adresáty závazná, a dále byl posílen právní základ rozhodnutí. Znění Rady je plně v souladu se sdělením Komise z března 2021 o digitálním kompasu 2030 a zdůrazňuje význam základních práv. Ve sdělení Komise „Digitální kompas 2030: Evropské pojetí digitální dekády“ z března 2021 byla představena vize úspěšné digitální transformace Evropské unie do roku 2030 (více v příspěvku „Komise představila cíle digitální transformace do roku 2030”, Informační společnost v březnu 2021, v příspěvku Rada schválila program Digitální Evropa”, Informační společnost v březnu 2021 a v příspěvku “Země EU se zavázaly k podpoře klíčových digitálních iniciativ”, Informační společnost v březnu 2021). Ambicí EU je dosáhnout digitální suverenity v otevřeném a propojeném světě a pokračovat v provádění digitálních politik, které občanům a podnikům zajistí digitální budoucnost, jež bude zaměřená na člověka, inkluzivní, udržitelná a prosperující.Evropská rada ve svých závěrech ze dne 25. března 2021 zdůraznila význam digitální transformace pro oživení, prosperitu, bezpečnost a konkurenceschopnost Unie a pro dobrou životní úroveň našich společenství. Pokud jde o sdělení o Digitálním kompasu, Evropská rada je ve svých závěrech označila za krok k mapování digitálního rozvoje EU v příštím desetiletí a dále vyzvala Komisi, aby využila všech dostupných nástrojů z oblasti průmyslové a obchodní politiky a politiky hospodářské soutěže. S ohledem na tyto ambice a výzvy Komise v září 2021 předložila návrh rozhodnutí EP a Rady, kterým se zavádí program digitální politiky Cesta k digitální dekádě (více v příspěvku „Předsedkyně Komise zhodnotila směřování EU v projevu o stavu Unie (SOTEU)”, Institucionální záležitosti v září 2021). Představený mandát schválil COREPER, což předsednictví Rady umožňuje zahájit jednání s EP, jakmile EP zaujme stanovisko.

Instituce dosáhly předběžné dohody o nařízení DORA

  • Rada a EP dosáhly předběžné dohody ohledně nařízení o digitální provozní odolnosti (DORA).
  • Nařízení DORA má v EU zajistit odolný finanční sektor, který bude schopen provádět operace i v případě závažného narušení provozu.
  • Nařízení DORA má dále stanovit jednotné požadavky na bezpečnost sítí a informačních systémů podniků a organizací působících ve finančním sektoru.
  • Podle předběžné dohody se nařízení DORA nemá týkat auditorů, kteří však budou zahrnuti do budoucího přezkumu nařízení, v jehož rámci může dojít k revizi dotčených pravidel

Instituce se 11. 5. 2022 předběžně dohodly o nařízení č. 595/2020 o digitální provozní odolnosti (nařízení DORA), jež má v EU zajistit odolný finanční sektor, který bude schopen provádět operace i v případě závažného narušení provozu. Nařízení DORA má stanovit jednotné požadavky na bezpečnost sítí a informačních systémů podniků a organizací působících ve finančním sektoru. Má vytvářet regulační rámec pro digitální provozní odolnost, na jehož základě všechny podniky musí zajistit, že jsou schopny přestát všechny druhy narušení a hrozeb souvisejících s informačními a komunikačními technologiemi, reagovat na ně a zotavit se z nich. Tyto požadavky jsou pro všechny členské státy EU jednotné. Hlavním cílem je předcházet kybernetickým hrozbám a zmírňovat je. Podle předběžné dohody by měla nová pravidla představovat velmi spolehlivý rámec, který posílí bezpečnost v oblasti IT ve finančním sektoru. Tato nová pravidla se mají vztahovat na téměř všechny finanční subjekty. Podle předběžné dohody se nařízení DORA nemá týkat auditorů, kteří však budou zahrnuti do budoucího přezkumu nařízení, v jehož rámci může dojít k revizi dotčených pravidel. Kritičtí poskytovatelé služeb informačních a komunikačních technologií ze třetích zemí, kteří poskytují služby finančním subjektům v EU, si budou muset v EU zřídit dceřinou společnost, aby mohl být řádně prováděn dohled. Pokud jde o rámec dohledu, orgány se dohodly na vytvoření další společné sítě dohledu, jež v rámci tohoto meziodvětvového tématu posílí koordinaci mezi evropskými orgány dohledu. Penetrační testy se podle předběžné dohody mají provádět za provozu a do testovacích postupů by mělo být možné zapojit orgány několika členských států. Využít interní auditory by mělo být možné pouze za přísně vymezených okolností, za předpokladu dodržení podmínek ochrany. V září 2020 předložila Komise návrh nařízení DORA. Je součástí širšího balíku v oblasti digitálních financí, jehož cílem je vypracovat evropský přístup, který podpoří technologický rozvoj a zajistí finanční stabilitu a ochranu spotřebitelů. Kromě návrhu nařízení DORA obsahuje balík strategii v oblasti digitálních financí, návrh nařízení o trzích s kryptoaktivy (MiCA) a návrh nařízení o technologii sdíleného registru (DLT). Tento balík má zaplňovat mezeru ve stávajících právních předpisech EU, a to tak, že má zajistit, aby stávající právní rámec nevytvářel překážky pro využívání nových digitálních finančních nástrojů, a současně zabezpečuje, aby tyto nové technologie a produkty spadaly do oblasti působnosti finančního nařízení a opatření k řízení operačních rizik podniků působících v EU. Cílem tohoto balíku je tedy podpořit inovace a zavádění nových finančních technologií a zároveň zajistit odpovídající úroveň ochrany spotřebitelů a investorů (více v příspěvku „Komise představila novou průmyslovou strategii pro „celosvětově konkurenceschopnou, ekologickou a digitální Evropu“, Vnitřní trh v březnu 2020 a v příspěvku „Komise představila předpisy v oblasti digitálních financí”, Informační společnost v září 2020). Rada přijala svůj mandát k jednání o nařízení DORA v listopadu 2021 (více v příspěvku „Rada dosáhla dohody o nařízeních MiCA a DORA”, Informační společnost v listopadu 2021). Pokud jde o vymezení vazeb mezi nařízením DORA a směrnicí o bezpečnosti sítí a informací (NIS), podle předběžné dohody by měla být finančním subjektům zcela vyjasněna různá pravidla týkající se digitální provozní odolnosti, která musí dodržovat, zejména v případě finančních subjektů, jež jsou držiteli několika povolení a působí na různých trzích v rámci EU. Směrnice o bezpečnosti sítí a informací zůstává v platnosti. Nařízení DORA vychází ze směrnice o bezpečnosti sítí a informací a možné překrývání řeší prostřednictvím výjimky lex specialis. Předběžnou dohodu, jíž bylo  dosaženo, musí před formálním přijetím ještě schválit Rada a EP. Jakmile bude návrh nařízení DORA formálně přijat, všechny členské státy EU jej musí začlenit do svých právních předpisů. Příslušné evropské orgány dohledu, jako je Evropský orgán pro bankovnictví (EBA), Evropský orgán pro cenné papíry a trhy (ESMA) a Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění (EIOPA), poté vypracují závazné technické normy pro všechny instituce poskytující finanční služby. Příslušné vnitrostátní orgány převezmou úlohu dohledu nad dodržováním předpisů a podle potřeby budou nařízení vymáhat.

Sdílet tento příspěvek

Další aktuality