Vyrábíte počítače či jiná elektronická nebo elektrická zařízení, stroje a přístroje, léčiva a zdravotnické prostředky nebo potraviny a máte padesát a více zaměstnanců? Pak se na váš podnik zřejmě bude vztahovat nová úprava kybernetické bezpečnosti. Totéž platí, pokud podnikáte například v oblasti chemického průmyslu nebo poskytujete nejrůznější digitální služby – cloud computing, služby datového centra či online tržiště… a mnohé další
Pozor, pokud je vaše společnost součástí skupiny společností, počítají se do výše uvedeného počtu i zaměstnanci ostatních společností dané skupiny, i mimo Českou republiku.
Nová právní úprava kybernetické bezpečnosti bude vycházet ze směrnice EU o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a (tzv. „NIS2 Directive“) přijaté na konci roku 2022.
Nová evropská úprava
Hlavní změnou oproti podobě současného zákona o kybernetické bezpečnosti je právě zásadní rozšíření okruhu a počtu subjektů, na něž se nová právní úprava uplatní. Odhaduje se, že místo dosavadních zhruba 150 společností půjde až o 6000 ekonomických subjektů. Pro ně půjde o regulační změnu srovnatelnou např. se zavedením režimu GDPR před pěti lety. Zásadní změnou jsou pak rovněž hrozící sankce jdoucí svojí výší potenciálně do milionů Eur v případech, kdy regulovaná osoba poruší nově ukládaná pravidla.
Regulace se dotkne i mnoha dalších sektorů, důležitých pro chod národní ekonomiky a fungování společnosti – např. takřka veškeré energetiky, dále telekomunikací, vodního a odpadového hospodářství, celé řady činností v oblasti dopravy, finančních služeb, zdravotnictví nebo výzkumu a vývoje.
Povinné osoby tak budou muset zejména:
- Poté, co určí, že se na ně nová úprava vztahuje, registrovat se jako poskytovatelé regulovaných služeb u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB);
- Identifikovat aktiva (tj. informace a data, procesy, zaměstnance a fyzická aktiva), která jsou klíčová z hlediska kybernetické bezpečnosti;
- Zavádět příslušná organizační opatření, např. vytvoření systému bezpečnostního řízení a bezpečnostní dokumentace, stanovení bezpečnostních rolí, řízení rizik, aktiv a dodavatelů;
- Zavádět příslušná technická opatření, zahrnujícíh např. řízení přístupových oprávnění, detekce kybernetických bezpečnostních událostí, používání kryptografických algoritmů;
- Identifikovat, řešit a oznamovat kybernetické bezpečnostní incidenty;
- Podrobit se pravidelnému auditu ze strany autorizovaného inspektora (na základě smlouvy s ním), případně státní kontrole NÚKIB. Autorizovaným inspektorem se může stát soukromá fyzická osoba s příslušným vzděláním a praxí v oblasti kyberbezpečnosti, která složí u NÚKIB zkoušku a bude následně jako inspektor zapsána. Důvody pro zavedení tohoto konceptu jsou kapacitní – nebude v silách NÚKIB nově monitorovat všechny regulované osoby.
Současný stav v ČR
V tuto chvíli se příslušná právní úprava v České republice teprve připravuje. NÚKIB nedávno na svých webových stránkách uveřejnil návrh nového zákona o kybernetické bezpečnosti a jeho prováděcích předpisů, které mají zcela nahradit dosavadní právní úpravu. Návrh zákona zohledňující řadu připomínek odborné veřejnosti je nyní v meziresortním připomínkovém řízení s předpokládaným vstupem do čtení v Parlamentu ČR teprve během léta 2023. Platnost nové úpravy lze za předpokladu obvyklého vývoje legislativního procesu očekávat na podzimu příštího roku.
Dopadá to na mě a kdy?
Již teď je nicméně s přihlédnutím k jednání s péčí řádného hospodáře obezřetné se v předstihu zajímat, zda se na moji společnost nová úprava do budoucna vztahuje či nikoliv – bude tedy praktické při přípravě rozpočtu na oblast compliance pro příští rok zahrnout zvýšené náklady na implementaci NIS2, personální a technické zabezpečení celého procesu, případně také na externí odborné poradce, kteří mohou s touto mimořádně důležitou agendou pomoct. Nabízí se proto k zodpovězení otázka, jakou část nových povinností je moje společnost schopna dlouhodobě zajistit stávajícími vlastními silami a kde musíme navýšit kapacity, případně jaké procesy bude možné nakonec rozumně outsourcovat?
Autoři článku
Tomáš Ščerba, Jan Metelka, Jan Rataj
Informační zdroje:
- Směrnice 2022/2555, NIS2 – Publications Office (europa.eu);
- Doporučení Komise EU o definici mikropodniků, malých a středních podniků (2003/361/ES) – Doporuceni_komise_o_definici_MSP.pdf (cmzrb.cz), Uživatelská příručka k definici malých a středních podniků (tacr.cz)
- Návrh nového zákona o kybernetické bezpečnosti, doprovodných vyhlášek a související materiály (např. odůvodnění jednotlivých návrhů předpisů) na webových stránkách NÚKIB – Course: Nová směrnice EU o bezpečnosti sítí a informací (nukib.cz)