ZKB

Zabývá se problematikou upravenou zákonem č. 181/2014 Sb., o kybernetické bezpečnosti. Na každodenní bázi komunikuje s regulovanými subjekty, ať už ve věci regulace nebo poskytování metodické podpory. Podílí se na přípravě legislativy v oblasti kybernetické bezpečnosti a hraje klíčovou roli při určování a ochraně kritické informační infrastruktury, významných informačních systémů a systémů základních služeb v rámci České republiky.

V případě jakýchkoliv dotazů či podnětů, především k určování prvků kritické informační infrastruktury nebo provozovatelů základních služeb, metodické podpoře k identifikaci významných informačních systémů nebo poskytovatelů digitálních služeb, k výkladu zákona o kybernetické bezpečnosti a jeho prováděcích právních předpisů, stejně tak jako k publikovaným podpůrným materiálům týkajících se zákona o kybernetické bezpečnosti a jeho prováděcích právních předpisů, se prosím obracejte na:

Sekretariát odboru regulace
Tel.: +420 541 110 560

Oddělení kontroly

Provádí kontroly dodržování požadavků zákona o kybernetické bezpečnosti u regulovaných subjektů. Současně s odborem regulace se podílí na přípravě legislativy v oblasti kybernetické bezpečnosti a poskytuje metodickou podporu regulovaným subjektům. Dále na kontrolní činnosti spolupracuje s dalšími kontrolními orgány, jejichž kontrolní činnost má přesah do oblasti kybernetické bezpečnosti.

Dne 15. prosince 2017 byla ve Sbírce zákonů České republiky vydána nová vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby.

Vyhlášku zpracoval Národní úřad pro kybernetickou a informační bezpečnost ve spolupráci s odbornou veřejností. Vyhláška zapracovává požadavky Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Směrnice NIS).

Vyhláška upravuje odvětvová a dopadová kritéria pro určení provozovatele základní služby a vymezení významnosti dopadu narušení základní služby na zabezpečení společenských nebo ekonomických činností podle § 22a odst. 1 zákona o kybernetické bezpečnosti.

Vyhláška nabývá účinnosti dne 1. února 2018.

Vyhláška byla rozeslána stejnopisem částky Sbírky zákonu České republiky č. 157/2017 dne 15. prosince 2017. Tato částka Sbírky zákonů České republiky je dostupná zde:
http://aplikace.mvcr.cz/sbirka-zakonu/SearchResult.aspx?q=437/2017&typeLaw=zakon&what=Cislo_zakona_smlouvy

Vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby je dále dostupná zde:
http://www.psp.cz/sqw/sbirka.sqw?cz=437&r=2017

Důvodová zpráva k vyhlášce a připomínky uplatněné v rámci meziresortního připomínkového řízení jsou dostupné zde (v sekci verze materiálu - Verze pro jednání vlády nebo LRV):
https://apps.odok.cz/veklep-detail?pid=ALBSARELD7DL

Vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby ke stažení pdfzde.

Podpůrné materiály a další informace k problematice určování provozovatele základní služby a informačního systému základní služby naleznete zde.

Obecné

Informace o změnách zákona č. 181/2014 Sb., o kybernetické bezpečnosti účinných od 1. srpna 2017
Informace o změnách zákona č. 181/2014 Sb., o kybernetické bezpečnosti účinných od 1. července 2017
Blokové schéma k zákonu o kybernetické bezpečnosti
Informace o institutu provozovatele informačního nebo komunikačního systému kritické informační infrastruktury nebo významného informačního systému podle § 2 písm. g) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů
Lhůty pro plnění povinností podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti
Povinnosti orgánů a osob podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů
Nepřiměřené náklady
Vodítka pro hodnocení dopadů - metodický materiál
  • Účelem tohoto podpůrného materiálu je poskytnutí vodítek pro hodnocení důležitosti informačních a komunikačních systémů, hodnocení důležitost aktiv a s tím související řízení rizik, odvození požadavků na bezpečnost zpracovávaných informací a informačních systémů. Dále také nastavení jednotících kritérií dopadu narušení bezpečnosti informací a poskytnutí pomoci správcům informačních a komunikačních systémů se zařazením jejich systémů do správné kategorie podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákona o kybernetické bezpečnosti) – tedy zařazení mezi významné informační systémy, informační či komunikační systémy kritické informační infrastruktury či informační systémy základní služby.
  • Stáhnout metodiku vč. přílohy (dopadové tabulky) (v1.2 platná ke dni 20.3.2018)
  • Stáhnout jen dopadovou tabulku (v1.2 platná ke dni 20.3.2018)
Zadávání veřejných zakázek v oblasti ICT a kybernetická bezpečnost - metodický materiál
  • Účelem dokumentu je poskytnout veřejným zadavatelům, zejména správcům kritické informační infrastruktury („KII“), významných informačních systémů („VIS“) a informačních systémů základní služby („PZS“) podporu při zadávání veřejných zakázek v oblasti informačních a komunikačních technologií s cílem omezit negativní dopady, které může tento formalizovaný proces výběru dodavatele mít pro oblast kybernetické bezpečnosti. Cílem dokumentu není poskytnout komplexně zpracovaný postup pro zadávání veřejných zakázek, spíše je koncipován jako shrnutí možností, které zadavatelé pro řešení problematických částí mají.
  • Dokument byl vypracován NÚKIB za spolupráce s MMR, jako gestorem zákona o zadávání veřejných zakázek, a konzultován s ÚOHS jako dohledovým orgánem. Dokument nelze považovat za stanovisko daných institutcí k otázkám vztahujícím se ke konkrétním případům, neboť ty jsou vydávány vždy na základě jejich konkrétních okolností.
  • Stáhnout pdf (v1.0 platná ke dni 12.2.2018)
Doporučení NÚKIB k ustanovení § 10a zákona o kybernetické bezpečnosti
  • Dokument obsahuje informace o možnostech neposkytnout informaci podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, jejíž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti podle § 10a zákona č. 181/2014 Sb. o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů nebo jež byla utajena podle zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti.
  • Stáhnout pdf (v1.0 platná ke dni 25.7.2018)

Kritická informační infrastruktura

Proces určování kritické informační infrastruktury

Provozovatelé základních služeb a informační systémy základních služeb

Proces určování provozovatelů základních služeb a informačních systémů základních služeb

Informace o institutu základní služby

Významné informační systémy

Proces určování významných informačních systémů

Poskytovatelé digitálních služeb

Podpůrný materiál k identifikaci poskytovatelů digitálních služeb
  • Tento dokument je určen potenciálním poskytovatelům digitálních služeb podle zákona o kybernetické bezpečnosti a klade si za cíl blíže vymezit pojmové znaky definice poskytovatele digitální služby.
  • Stáhnout pdf (v1.0 platná ke dni 30.7.2018)

vyhláška o kybernetické bezpečnosti

Pomůcka k auditu bezpečnostních opatření podle vyhlášky o kybernetické bezpečnosti č. 82/2018 Sb. (pracovní verze checklistu)
Pomůcka k auditu bezpečnostních opatření podle vyhlášky o kybernetické bezpečnosti č. 316/2014 Sb.
Bezpečnostní role a jejich začlenění v organizaci
Požadavky na smlouvy s dodavateli
  • Vodítko k vysvětlení jednotlivých požadavků vyhlášky č. 82/2018 Sb. kladených na smlouvy s dodavateli. Jedná se o vysvětlení jednotlivých požadavků přílohy č. 7 této vyhlášky.
  • Stáhnout pdf (v1.0 platná ke dni 5.10.2018)
Doporučení v oblasti kryptografických prostředků
  • Doporučení v oblasti kryptografických prostředků podle § 26 písm. d) vyhlášky o kybernetické bezpečnosti naleznete na úřední desce.

Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací dle § 3 písm. a) ZKB

Poskytovatelem služby elektronických komunikací je ten, kdo ve smyslu § 2 písm. n) zákona č. 127/2005 Sb., o elektronických komunikacích, obvykle za úplatu poskytuje službu, která spočívá zcela nebo převážně v přenosu signálů po sítích elektronických komunikací, včetně telekomunikačních služeb a přenosových služeb v sítích používaných pro rozhlasové a televizní vysílání a v sítích kabelové televize, s výjimkou služeb, které nabízejí obsah prostřednictvím sítí a služeb elektronických komunikací nebo vykonávají redakční dohled nad obsahem přenášeným sítěmi a poskytovaným službami elektronických komunikací. Také se nejedná o služby informační společnosti, které nespočívají zcela nebo převážně v přenosu signálů po sítích elektronických komunikací.

Subjektem zajišťujícím síť elektronických komunikací je takový subjekt, který zajišťuje přenosové systémy, popřípadě spojovací nebo směrovací zařízení a jiné prostředky, včetně prvků sítě, které nejsou aktivní, které umožňují přenos signálů po vedení, rádiovými, optickými nebo jinými elektromagnetickými prostředky, včetně družicových sítí, pevných sítí s komutací okruhů nebo paketů a mobilních zemských sítí, sítí pro rozvod elektrické energie v rozsahu, v jakém jsou používány pro přenos signálů, sítí pro rozhlasové a televizní vysílání a sítí kabelové televize, bez ohledu na druh přenášené informace ve smyslu § 2 písm. h) zákona č. 127/2005 Sb., o elektronických komunikacích.


Orgán nebo osoba zajišťující významnou síť dle § 3 písm. b) ZKB

Orgánem nebo osobou zajišťující významnou síť je takový orgán nebo osoba, která ve smyslu § 2 písm. h) zákona č. 127/2005 Sb., o elektronických komunikacích, zajišťuje přenosové systémy, popřípadě spojovací nebo směrovací zařízení a jiné prostředky, včetně prvků sítě, které nejsou aktivní, které umožňují přenos signálů po vedení, rádiovými, optickými nebo jinými elektromagnetickými prostředky, včetně družicových sítí, pevných sítí s komutací okruhů nebo paketů a mobilních zemských sítí, sítí pro rozvod elektrické energie v rozsahu, v jakém jsou používány pro přenos signálů, sítí pro rozhlasové a televizní vysílání a sítí kabelové televize, bez ohledu na druh přenášené informace, a to ovšem pouze za situace, že tato síť zajišťuje přímé zahraniční propojení do veřejných komunikačních sítí nebo zajišťující přímé připojení ke kritické informační infrastruktuře ve smyslu § 2 písm. h) zákona č. 181/2014 Sb., o kybernetické bezpečnosti.

Proces určování:

Správce nebo provozovatel informačního nebo komunikačního systému kritické informační infrastruktury je povinen neprodleně informovat subjekt zajišťující síť elektronických komunikací v případě, že tento subjekt zajišťuje síť připojující prvek kritické informační infrastruktury. Tímto se ze subjektu zajišťujícího síť elektronických komunikací stává orgán nebo osoba zajišťující významnou síť.


Správce a provozovatel informačního nebo komunikačního systému kritické informační infrastruktury dle § 3 písm. c) a d) ZKB

Správcem informačního nebo komunikačního systému kritické informační infrastruktury je takový orgán nebo osoba, která určuje účel komunikačního systému nebo účel zpracování informací a podmínky provozování informačního nebo komunikačního systému.

Provozovatelem informačního nebo komunikačního systému kritické informační infrastruktury je takový orgán nebo osoba, která zajišťuje funkčnost technických a programových prostředků tvořících informační nebo komunikační systém, správce je určil a o této skutečnosti informoval.

Kritickou informační infrastrukturou (KII) se dle § 2 písm. g) a písm. i) zákona č. 240/2000 Sb., krizového zákona, rozumí prvek nebo systém prvků kritické infrastruktury, v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti dle § 2 písm. b) zákona č. 181/2014 Sb. o kybernetické bezpečnosti.

V praxi se jedná o takové informační nebo komunikační systémy, příp. ICS/SCADA systémy, které naplní kritéria pro určení prvků KII viz níže uvedené schéma v PDF.

Proces určování kritické informační infrastruktury:

Upozornění:

Rádi bychom upozornili na skutečnost, že určování prvků KII probíhá po vzájemném jednání mezi potenciálními povinnými subjekty (potenciálními správci prvků KII) a zástupci Národního úřadu pro kybernetickou a informační bezpečnost. O finálním určení prvku KII je vždy informován jeho správce, příp. jeho nadřízená organizace.


Správce a provozovatel významného informačního systému dle § 3 písm. e) ZKB

Správcem významného informačního systému je takový orgán nebo osoba, která určuje účel zpracování informací a podmínky provozování informačního systému.

Provozovatelem významného informačního systému je takový orgán nebo osoba, která zajišťuje funkčnost technických a programových prostředků tvořících informační systém, správce je určil a o této skutečnosti informoval.

Významným informačním systémem (VIS) je informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou ani informačním systémem základní služby a u kterého narušení bezpečnosti informací (narušení důvěrnosti, dostupnosti a integrity) může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci.

Proces určování významných informačních systémů:

Provozovatel základní služby nebo správce a provozovatel informačního systému základní služby dle § 3 písm. f) a g) ZKB

Provozovatelem základní služby je takový orgán nebo osoba, která poskytuje základní službu a zároveň byl určen rozhodnutím Národního úřadu pro kybernetickou a informační bezpečnost.

Správcem informačního systému základní služby je takový orgán nebo osoba, která určuje účel zpracování informací a podmínky provozování informačního systému základní služby, provozovatel základní služby je určil a o této skutečnosti informoval.

Provozovatelem informačního systému základní služby je takový orgán nebo osoba, která zajišťuje funkčnost technických a programových prostředků tvořících informační systém, provozovatel základní služby je určil a o této skutečnosti informoval.

Základní službou (ZS) je dle § 2 písm. i) zákona č. 181/2014 Sb., o kybernetické bezpečnosti, služba, jejíž poskytování je závislé na sítích elektronických komunikací nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení společenských nebo ekonomických činností v některém z těchto odvětví

  1. energetika,
  2. doprava,
  3. bankovnictví,
  4. infrastruktura finančních trhů,
  5. zdravotnictví,
  6. vodní hospodářství,
  7. digitální infrastruktura,
  8. chemický průmysl.

Informačním systémem základní služby je dle § 2 písm. j) zákona č. 181/2014 Sb., o kybernetické bezpečnosti, informační systém, na jehož fungování je závislé poskytování základní služby.

Podrobné informace o institutu základní služby naleznete zde.

Proces určování provozovatele základní služby a informačního systému základní služby:

Poskytovatel digitální služby dle § 3 písm. h) ZKB

Digitální službou (DS) je dle zákona č. 480/2004 Sb., o některých službách informační společnosti jakákoliv služba poskytovaná elektronickými prostředky na individuální žádost uživatele podanou elektronickými prostředky, poskytovaná zpravidla za úplatu; služba je poskytnuta elektronickými prostředky, pokud je odeslána prostřednictvím sítě elektronických komunikací a vyzvednuta uživatelem z elektronického zařízení pro ukládání dat, dle § 2 písm. h) zákona č. 181/2014 Sb., o kybernetické bezpečnosti, spočívá v provozování:

  1. on-line tržiště, které spotřebiteli nebo prodávajícímu umožňuje on-line uzavírat s prodávajícím podnikatelem kupní smlouvu nebo smlouvu o poskytnutí služeb, a to prostřednictvím internetové stránky on-line tržiště nebo prostřednictvím internetové stránky prodávajícího, který využívá službu poskytovanou on-line tržištěm,
  2. internetového vyhledávače, který umožňuje provádět vyhledávání v zásadě na všech internetových stránkách, a to na základě dotazu uživatele na jakékoliv téma v podobě klíčového slova, sousloví nebo jiného zadání, přičemž služba poskytuje odkazy, na nichž lze nalézt informace související s požadovaným obsahem, nebo
  3. cloud computingu, který umožňuje přístup k rozšířitelnému a přizpůsobitelnému úložišti nebo výpočetním zdrojům, které je možné sdílet.

Podrobné informace o institutu poskytovatele digitální služby naleznete zde. (v1.0 platná ke dni 30.7.2018)

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)

Dne 29. srpna 2014 vstoupil v platnost zákon č. 181/2014 Sb., o kybernetické bezpečnosti. Zákon vstoupil v účinnost 1. ledna 2015. V roce 2017 proběhly dvě obsahově významné novely zákona o kybernetické bezpečnosti a to prostřednictvím zákona č. 104/2017 Sb. s účinností od 1. července a zákona č. 205/2017 Sb. s účinností od 1. srpna 2017. Zákon o kybernetické bezpečnosti upravuje práva a povinnosti osob, jakož i pravomoc a působnost orgánů veřejné moci v oblasti kybernetické bezpečnosti. Zpracovává příslušné předpisy Evropské unie (jedná se o transpozici směrnice NIS) a upravuje zajišťování bezpečnosti sítí elektronických komunikací a informačních systémů.

Hlavním cílem zákona je:
  • stanovit základní úroveň bezpečnostních opatření,
  • zlepšit detekci kybernetických bezpečnostních incidentů,
  • zavést hlášení kybernetických bezpečnostních incidentů,
  • zavést systém opatření k reakci na kybernetické bezpečnostní incidenty,
  • upravit činnost dohledových pracovišť.

Původní znění zákona nabylo účinnosti 1. ledna 2015, aktuální znění zákona je účinné od 7. března 2018.

Zákon je dostupný na stránkách NÚKIB pod tímto odkazem:


Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Směrnice NIS)

Dne 6. července 2016 byla uveřejněna směrnice Evropského parlamentu a Rady (EU) 2016/1148 (dále jen „směrnice NIS“). Tato směrnice má za cíl harmonizovat právní úpravu členských států v oblasti bezpečnosti sítí a informačních systémů a zavést jednotný standard úrovně kybernetické bezpečnosti s cílem zlepšení fungování vnitřního trhu.

Některé povinnosti, které směrnice NIS ukládá, jsou v České republice zákonem č. 181/2014 Sb., o kybernetické bezpečnosti, a jeho prováděcími předpisy již řešeny.

Směrnice NIS mimo jiné rozšiřuje okruh subjektů, pro které budou stanoveny povinnosti v oblasti ochrany a prevence před kybernetickými bezpečnostními incidenty – jedná se o tzv. provozovatele základní služby a poskytovatele digitálních služeb (internetové vyhledávače, cloud computing a online tržiště). Požadavky směrnice zapracovává novela zákona o kybernetické bezpečnosti cestou zákona č. 205/2017 Sb. s účinností od 1. srpna 2017 (viz příslušná sekce stránek NÚKIB).

Transpoziční lhůta pro směrnici NIS je stanovena do 9. května 2018.

Směrnice NIS je dostupná na oficiálních stránkách EU pod tímto odkazem:


Vyhláška o kybernetické bezpečnosti

Tato vyhláška zapracovává Směrnici NIS a pro informační systémy kritické informační infrastruktury, komunikační systémy kritické informační infrastruktury, významné informační systémy, informační systémy základní služby anebo informační systémy nebo sítě elektronických komunikací, které využívá poskytovatel digitálních služeb, upravuje:

  • obsah a strukturu bezpečnostní dokumentace,
  • obsah a rozsah bezpečnostních opatření,
  • typy, kategorie a hodnocení významnosti kybernetických bezpečnostních incidentů,
  • náležitosti a způsob hlášení kybernetického bezpečnostního incidentu,
  • náležitosti oznámení o provedení reaktivního opatření a jeho výsledku,
  • vzor oznámení kontaktních údajů a jeho formu,
  • způsob likvidace dat, provozních údajů, informací a jejich kopií.
Dostupné verze vyhlášek:

Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích

Dne 19. prosince 2014 vstoupila v platnost vyhláška č. 317/2014 Sb. o významných informačních systémech a jejich určujících kritériích. Vyhláška stanoví významné informační systémy a kritéria pro jejich určení.

Tato vyhláška nabyla účinnosti 1. ledna 2015.

Vyhláška je dostupná na stránkách NÚKIB pod tímto odkazem:


Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury

Nařízení vlády je platné od 30. prosince 2010. Nařízení vlády definuje průřezová a odvětvová kritéria pro určení prvku kritické infrastruktury. V příloze k nařízení vlády je definováno 9 odvětví, včetně jednotlivých odvětvových kritérií pro určení prvku kritické infrastruktury. 

Toto nařízení vlády nabylo účinnosti 1. ledna 2011. V souvislosti se zahrnutím oblasti kybernetické bezpečnosti do odvětvových kritérií proběhla novela nařízením vlády č. 315/2014 Sb., s účinnosti od 1. ledna 2015.

Nařízení vlády je dostupné na stránkách NÚKIB pod tímto odkazem:


Vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby

Dne 15. prosince 2017 byla ve Sbírce zákonů České republiky vydána nová vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby.

Vyhlášku zpracoval Národní úřad pro kybernetickou a informační bezpečnost ve spolupráci s odbornou veřejností. Vyhláška zapracovává požadavky Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Směrnice NIS).

Vyhláška upravuje odvětvová a dopadová kritéria pro určení provozovatele základní služby a vymezení významnosti dopadu narušení základní služby na zabezpečení společenských nebo ekonomických činností podle § 22a odst. 1 zákona o kybernetické bezpečnosti.

Vyhláška nabývá účinnosti dne 1. února 2018.

Vyhláška byla rozeslána stejnopisem částky Sbírky zákonu České republiky č. 157/2017 dne 15. prosince 2017. Tato částka Sbírky zákonů České republiky je dostupná zde:
http://aplikace.mvcr.cz/sbirka-zakonu/SearchResult.aspx?q=437/2017&typeLaw=zakon&what=Cislo_zakona_smlouvy

Vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby je dále dostupná zde:
http://www.psp.cz/sqw/sbirka.sqw?cz=437&r=2017

Důvodová zpráva k vyhlášce a připomínky uplatněné v rámci meziresortního připomínkového řízení jsou dostupné zde (v sekci verze materiálu - Verze pro jednání vlády nebo LRV):
https://apps.odok.cz/veklep-detail?pid=ALBSARELD7DL

Vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby ke stažení pdfzde.

Podpůrné materiály a další informace k problematice určování provozovatele základní služby a informačního systému základní služby naleznete zde.


Prováděcí nařízení EK ke Směrnici NIS, které stanoví bezpečnostní opatření a parametry významnosti dopadu incidentu pro poskytovatele digitálních služeb

Dne 31. ledna 2018 zveřejnila Evropská komise prováděcí nařízení komise (EU) 2018/151, kterým se stanoví pravidla pro uplatňování směrnice Evropského parlamentu a Rady (EU) 2016/1148 (Směrnice NIS). Toto prováděcí nařízení obsahuje bližší upřesnění bezpečnostních opatření, které musí poskytovatelé digitálních služeb (§ 3 písm. h) podle ZKB) zohledňovat při řízení bezpečnostních rizik, jimž jsou vystaveny sítě a informační systémy, a dále bližší upřesnění parametrů pro posuzování toho, zda je dopad incidentu významný. Toto prováděcí nařízení je účinné od 10. května 2018 a je přímo aplikovatelné. Pro poskytovatele digitálních služeb je tedy závazné.

Prováděcí nařízení je dostupné na oficiálních stránkách EU pod tímto odkazem:

http://eur-lex.europa.eu/legal-content/CS/TXT/?uri=uriserv:OJ.L_.2018.026.01.0048.01.CES&toc=OJ:L:2018:026:TOC