Evropská unie akceleruje své snahy v rámci posilování digitální odolnosti důležitých subjektů z řad veřejného i soukromého sektoru. Aktuálně probíhá proces aktualizace a harmonizace požadavků na digitální odolnost v podobě několika předpisů, z nichž nejrelevantnější jsou v kontextu kryptoprůmyslu směrnice NIS 2 a nařízení DORA. V tomto stručném příspěvku se podíváme na to, který z těchto předpisů je relevantní pro Vaše podnikání.
Proč existuje DORA a zároveň NIS 2?
Evropská unie vydala a dále rozvíjí celou řadu předpisů v oblasti digitální odolnosti. Směrnice NIS 2 společně s nařízením DORA jsou součástí tohoto regulatorního rámce. Systematicky je směrnice NIS 2 obecný předpis, zatímco nařízení DORA je předpis specifický pro finanční sektor.
Směrnice NIS 2 (navazující na předcházející směrnici NIS) stanovuje jednak rámec spolupráce mezi členskými státy, kdy ustanovuje orgány věnující se digitální odolnosti v rámci členských států, evropské instituce v tomto oboru a jejich vzájemné vztahy a komunikaci. Dále stanovuje obecný rámec požadavků pro společnosti a orgány veřejné moci k zajištění jejich digitální odolnosti. Za připomenutí stojí i to, že NIS 2 je směrnice, a tedy až členské státy stanoví vlastní národní legislativou konkrétní požadavky na povinné subjekty. Ty se pak mohou dílčím způsobem v mezích vymezených směrnicí lišit.
Naproti tomu nařízení DORA je zvláštní předpis navazující na obecný rámec směrnice NIS 2, který je zaměřen na regulované finanční instituce, kam spadnou podle nařízení MiCA i poskytovatelé služeb spojených s kryptoaktivy (tzv. CASP). Nařízení DORA tedy podrobně konkretizuje požadavky na digitální odolnost těchto subjektů a tím de facto naplňuje rámcové požadavky směrnice NIS 2. DORA je nařízení, což je forma přímo použitelného předpisu Evropské unie, který platí ve všech členských státech bez návaznosti na konkrétní národní legislativu. Proto poskytuje vyšší míru harmonizace.
Musím plnit požadavky směrnice NIS 2 nebo nařízení DORA?
Pokud Vaše podnikání bude naplňovat definici CASP, bude spadat do působnosti nařízení DORA. Implementací požadavků tohoto nařízení budou de facto naplněny i požadavky směrnice NIS 2, neboť se ve většinovém rozsahu překrývají.
Pokud však Vaše podnikání nespadá pod regulované finanční služby, ani nejste jako podnikatel CASP, pak je potřeba se zamyslet, zda nebude spadat pod rozsah aplikace směrnice NIS 2. Oblast použití této směrnice je definována na základě odvětví, která jsou uvedena v rámci příloh směrnice, a na základě rozhodné velikosti podniku. Směrnice se aplikuje (až na výjimky) pouze vůči podnikům střední a větší velikosti (50 a více zaměstnanců nebo aktiva nebo roční obrat přesahující 10 mil. EUR). Do této kategorie by například mohly spadnout podniky věnující se pronájmu výpočetního výkonu k těžbě kryptoměn (pokud nebudou zároveň CASP – viz detailněji) a které jsou alespoň středním podnikem, neboť oborově pod směrnici NIS 2 budou spadat i poskytovatelé “digitální infrastruktury” – např. datových center nebo cloud computingu.