Ukázka
Zkusit zdarma

Digitální služby pod drobnohledem EU

Digitální služby pod drobnohledem EU

Nařízení o digitálních službách: regulace, na kterou se často zapomíná

V poslední době se prakticky nemluví o ničem jiném než o směrnici NIS2 a novém zákoně o kybernetické bezpečnosti. Firmy intenzivně řeší, zda do nové regulace spadnou, v jakém režimu a jaké povinnosti z toho pro ně vyplynou.  

Méně se ale ví o tom, že pro vybrané poskytovatele digitálních služeb platí ještě další, velmi specificky předpis – Nařízení o digitálních službách (Komise (EU) 2024/2690).

Tento prováděcí předpis je přitom pro dotčené organizace zásadní. Nejenže je účinný od roku 2024, ale pro vybrané subjekty rozšiřuje obecné požadavky NIS2 a jde v oblasti kybernetické bezpečnosti do mnohem větších detailů. Ignorovat ho se rozhodně nevyplatí.

Jaký je rozdíl mezi NIS2, ZKB a tímto nařízením?

Zjednodušeně:

  • NIS2 nastavuje jednotný rámec povinností pro kybernetickou bezpečnost v EU;
  • ZKB přenáší tato pravidla do českého práva a určuje, jak přesně budou fungovat v tuzemsku.
  • Prováděcí nařízení diktuje u vybraných digitálních služeb konkrétní technické detaily, jak mají organizace bezpečnost realizovat v praxi.

Nejdůležitější rozdíl je v tom, že nařízení je přímo použitelné ve všech státech EU a nečeká se na žádnou národní implementaci.

To znamená, že pokud do něj spadáte, řešíte evropskou regulaci napřímo. Důvodem je hlavně přeshraniční charakter digitálních služeb, kde by rozdílná pravidla v jednotlivých státech nedávala smysl.

Na koho dopadá?

Prováděcí nařízení (EU) 2024/2690 přesně specifikuje vybrané kategorie poskytovatelů digitální infrastruktury a digitálních služeb. Typicky jde o:

  • cloud computing (IaaS, SaaS, PaaS);
  • datová centra;
  • síť pro doručování obsahu (CDN);
  • řízené služby a řízené bezpečnostní služby (MSP a MSSP);
  • Poskytovatele internetových vyhledávačů a online tržišť;
  • služby vytvářející důvěru.

Zajímavé scénáře z praxe

Regulace často dopadne i na firmy, které žádné IT služby veřejně neprodávají. Typickým příkladem jsou holdingové struktury:

  • Interní IT firma v holdingu: Pokud poskytujete IT nebo cloudové služby ostatním dceřiným společnostem ve skupině, legislativa na vás může nahlížet jako na komerčního externího providera.
  • Centra sdílených služeb (Shared Services): Provozujete správu identit, infrastrukturu nebo bezpečnost pro více firem v rámci koncernu? Pak zbystřete.
  • Interní SOC nebo bezpečnostní tým: Pokud váš bezpečnostní tým funguje jako dedikovaná služba pro zbytek skupiny, můžete spadnout pod regulované bezpečnostní služby (MSSP).

Jaké povinnosti regulace přináší?

Nařízení nepřináší úplně nové principy, ale rozšiřuje a detailně popisuje to, co NIS2 zmiňuje jen obecně.

Jedná se především o:

Jak je to se souběhem se ZKB?

Tady přichází jeden z nejdůležitějších praktických momentů.

Pokud poskytujete digitální službu:

  • bezpečnostní opatření a incident reporting se řídí přímo tímto EU nařízením;
  • ostatní povinnosti zůstávají podle ZKB.

A co když děláte obojí?

Pokud provozujete cloud (digitální služba) a zároveň poskytujete jinou službu regulovanou podle ZKB (např. kritickou infrastrukturu), musíte pravidla kombinovat. Pro digitální část platí evropské nařízení, pro zbytek český zákon. Pokud obě služby sdílejí stejnou infrastrukturu, platí vždy ten přísnější nebo konkrétnější požadavek.

Termíny a co řešit teď

Vzhledem k tomu, že jde o evropské nařízení, vstoupilo v účinnost bez ohledu na to, zda už máme schválený nový český zákon o kybernetické bezpečnosti. Nečeká se na žádnou českou legislativu.

Prakticky to znamená

Pokud máte podezření, že do této kategorie spadáte, váš akční plán pro nejbližší dny by měl být:

  • Právní analýza: Zjistit, zda vaše služby (i ty interní v holdingu) pod nařízení spadají;
  • Gap analýza: Porovnat stávající opatření s konkrétními požadavky nařízení a identifikovat nesoulady;
  • Implementace změn: Nastavit procesy tak, aby vyhovovaly jak evropskému nařízení, tak ZKB.

Shrnutí

Prováděcí nařízení 2024/2690 je sice nenápadný, ale zásadní kus legislativy. Platí přímo, bez výjimek, a míří nekompromisně na IT a digitální služby (včetně těch vnitrofiremních).

Nejste si jisti, jestli se vás to týká?

Nevíte, jestli spadáte do regulace?

Nejste si jistí, jak kombinovat ZKB a evropské nařízení?

Chcete mít jasno, co konkrétně musíte udělat?

Pomůžeme vám s gap analýzou i implementací opatření.

Kontaktujte nás

Sdílejte:

Klíčové kontakty:

Picture of Petr Sýkora

Petr Sýkora

Související příspěvky

Proč Excel nestačí: DORA Dashboard

Proč Excel nestačí: DORA vyžaduje skutečný software

Regulace DORA (Digital Operational Resilience Act) zásadně mění přístup k řízení ICT rizik a kybernetické bezpečnosti. Zatímco dříve bylo možné vystačit s kombinací dokumentů, tabulek a jednorázových auditů, dnes se očekává kontinuální, řízený a prokazatelný systém. Právě v tomto kontextu se ukazuje, že Excel, jakkoliv je

Přečtěte si více ...
Prohlaseni o aplikovatelnosti

Jak vytvořit Prohlášení o aplikovatelnosti podle ZKB?

Nový zákon o kybernetické bezpečnosti („ZKB“), účinný od 1. listopadu 2025, spolu s jeho prováděcími předpisy, přináší organizacím poskytujícím regulovanou službu řadu povinností vyplývajících mimo jiné ze směrnice NIS2. Jednou z klíčových součástí systému řízení kybernetické bezpečnosti je zavedení bezpečnostních opatření a vedení související dokumentace.

Přečtěte si více ...