NIS (Network Information Security) je první směrnice vytvořená EU jako komplexní dokument, jehož cílem je zajistit jednotnou a vysokou úroveň bezpečnosti na úrovni sítí a informačních systémů v členských státech EU. Doposud se národní opatření v oblasti kybernetické bezpečnosti výrazně lišila nejen po formální stránce, ale i v praxi. Pouze několik zemí mělo v této oblasti legislativní rámec a ne všechny zřídily bezpečnostní skupiny na nejvyšší úrovni, jako jsou CSIRT/CERT. Účelem směrnice je stanovit základní požadavky, které musí splňovat všechny členské státy EU.
Některé povinnosti vyplývající ze směrnice jsou organizační a legislativní povahy, zatímco jiné zahrnují povinnosti vztahující se na kategorie povinných subjektů definovaných směrnicí.
Část směrnice organizační a legislativní povahy zahrnuje:
- Přijetí strategie – každý členský stát musí mít národní strategii pro bezpečnost sítí a informačních systémů. Tato národní strategie by měla zahrnovat strategické cíle a konkrétní opatření, která má stát v nadcházejících letech přijmout
- Zřízení centrálního orgánu – každý členský stát musí zvolit nebo zřídit centrální orgán odpovědný za kybernetickou bezpečnost. Tento orgán by měl působit jako kontaktní místo pro přeshraniční spolupráci na úrovni EU.
Povinnost zřídit CSIRT tým – CSIRT týmy poskytují podporu pro řešení kybernetických bezpečnostních incidentů. CSIRT zahrnují poskytovatele základních služeb a provozovatele elektronických služeb. - Povinnost zřídit CSIRT tým – CSIRT týmy poskytují podporu pro řešení kybernetických bezpečnostních incidentů. CSIRT zahrnují poskytovatele základních služeb a provozovatele elektronických služeb.
- Ustanovení Skupiny pro spolupráci a Skupiny CSIRT – úkolem Skupiny pro spolupráci je strategická a jejími členy jsou většinou zástupci centrálních orgánů. Skupina CSIRT by měla navázat pracovní vztahy se všemi CSIRT, které v zemi působí nebo byly zřízeny přijetím směrnice.
Směrnice NIS se týká provozovatelů základních služeb a poskytovatelů digitálních služeb.
- Provozovatelé základních služeb – skupina je tvořena provozovateli základních služeb, kteří spadají do následujících odvětví: energetika, doprava, bankovnictví, infrastruktura, zdravotnictví, dodávky a rozvody pitné vody a digitální infrastruktura.
- Provozovatelé elektronických služeb – skupina je tvořena provozovateli elektronických služeb v odvětvích online tržiště, internetové vyhledávače a poskytovatelé cloud computingu.
Dopadová a oblastní kritéria jsou přesně definována v prováděcím právním předpisu – zákonu č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů. Transpozice směrnice EU, kterým se změnil zákon č. 181/2014 Sb., o kybernetické bezpečnosti, a zákon č. 106/1999 Sb., o svobodném přístupu k informacím byla provedena s účinností od 1. 8. 2017.
Směrnice NIS byla publikována a vstoupila v platnost v srpnu 2016.