Zákon o kyberbezpečnosti má chránit strategické podniky. Dotkne se tisíců firem

Článek si také můžete poslechnout v audioverzi.

Účinnost nového zákona o kybernetické bezpečnosti (dále nZKB) se blíží. Jeho součástí bude také nová evropská směrnice (EU) č. 2022/2555 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, známá jako „směrnice NIS2“, která se dotkne překvapivě velkého množství firem. Podnikáte v energetice, v dopravě, ve zdravotnictví anebo v oblasti poštovních služeb? Tak pozor, abyste tuto legislativní novinku nepodcenili.

„NIS2 si klade za cíl výrazně zvýšit kybernetickou bezpečnost v sektorech, které mají zásadní význam pro fungování ekonomiky a veřejné správy členských států EU,“ vysvětluje Dalibor Kovář, partner Havel & Partners. Směrnice přitom nedefinuje konkrétní kroky nebo technická řešení, pouze nastavuje obecný rámec a základní cíle kybernetické ochrany.

„Konkretizace povinností a opatření zůstává na jednotlivých členských státech EU, které musí promítnout směrnici NIS2 do svého národního právního řádu. Ve výsledku tak mohou být některé povinnosti v různých členských státech EU odlišné,“ říká Kovář.

Transpozice směrnice NIS2 měla být ve všech členských státech dokončena do 17. října 2024, Česká republika tento termín nestihla. A není sama. Ačkoli přípravy českého transpozičního zákona započaly včas, protáhlo se meziresortní připomínkové řízení i začátek legislativního procesu nového kybernetického zákona. Jeho účinnost lze očekávat nejdříve v první polovině roku 2025. V současnosti je návrh nZKB teprve po prvním čtení v Poslanecké sněmovně.

Po účinnosti nZKB budou mít subjekty spadající pod novou regulaci povinnost provést ohlášení, a to do 60 dní od naplnění podmínek pro registraci regulované služby. Na zavedení bezpečnostních opatření budou mít rok, počítáno od doručení rozhodnutí o registraci.

„To je ale na přijetí všech potřebných opatření velice krátká doba,“ soudí Pavel Amler, vedoucí advokát Havel & Partners. I podle NÚKIB a dalších odborníků je stanovená lhůta příliš krátká, zejména proto, že zavádění bezpečnostních opatření je nikdy nekončící proces.

„Společnosti by proto měly s přípravami na povinnosti vyplývající z novely zákona o kybernetické bezpečnosti začít co nejdříve. I když byste teoreticky začali s implementací nyní, přijetí všech bezpečnostních opatření nejspíše v zákonné lhůtě nestihnete,“ říká Pavel Amler. Dobrou zprávou podle něj je, že nZKB vychází z oborových standardů, takže by nové povinnosti neměly společnosti obsahově zase tolik překvapit.

Směrnice NIS2 dopadne na mnoho tuzemských organizací, ať už napřímo, či nepřímo. Očekává se, že nové povinnosti se budou týkat až deseti tisíc subjektů, ačkoliv dřívější povinnosti týkající se kyberbezpečnosti dopadaly na nízké stovky subjektů. Přímý dopad bude mít nZKB na společnosti, které splňují zároveň velikostní i odvětvové kritérium. Tato kritéria lze shrnout následovně:

„Nepřímý dopad však bude mít nZKB i na menší a střední podniky, které musí přizpůsobit své procesy novým bezpečnostním standardům tak, aby mohly nadále spolupracovat se zákazníky regulovanými dle nZKB. Lze tedy očekávat požadavky na nové smluvní nastavení, které dostojí požadavkům v rámci dodavatelského řetězce,“ upozorňuje advokát Amler.

Kromě výše uvedeného může ještě NÚKIB svým rozhodnutím určit některé společnosti poskytující strategicky významné služby (i přes nenaplnění výše uvedených kritérií) jako regulované subjekty, případně stanovit, že se tyto společnosti musí řídit režimem vyšších povinností dle nZKB namísto režimu nižších povinností. O tom více dále v článku.

Požadavky budou podle významnosti společnosti rozděleny do dvou režimů – vyšších povinností a nižších povinností. Tento princip „dvourychlostní kybernetické bezpečnosti“ má za cíl ochránit menší organizace od přísných a nákladných pravidel.

Základní povinnosti společné pro subjekty v režimu nižších i vyšších povinností budou zahrnovat:

Detailní přehled povinností je dostupný na oficiálních stránkách NÚKIB.

Poměrně významnou novinkou je důraz na aktivní zapojení vrcholového managementu regulovaných firem. „Za implementaci kybernetických bezpečnostních opatření bude zodpovědné vedení společnosti. Tím se vlastně téma kybernetické bezpečnosti posouvá z čistě technické roviny do oblasti strategického řízení podniku,“ vysvětluje Dalibor Kovář z Havel & Partners.

Pro zajištění dodržování nových pravidel zavádí nZKB dle směrnice NIS2 systém vysokých sankcí a nápravných opatření, které může NÚKIB jako dozorový orgán udělovat. Tyto pokuty mají motivovat firmy k důslednému plnění bezpečnostních opatření a k proaktivnímu přístupu k digitální bezpečnosti.

Podobně jako v případě sankcí za porušení ochrany osobních údajů dle GDPR mohou být sankce ukládány v určitém procentuálním poměru k čistému celosvětovému ročnímu obratu podniku — v aktuálním návrhu nového zákona o kybernetické bezpečnosti se počítá s pokutou až 200 milionů korun, nebo dvě procenta čistého celosvětového ročního obratu podniku podle toho, která z částek je vyšší.

„Zákon dále dává možnost uložit sankci v podobě zákazu činnosti či odebrání licence,“ upozorňuje ještě Kovář.

V legislativním procesu je v současnosti také transpozice směrnice CER, která má za cíl zajistit ochranu kritické infrastruktury v členských státech EU. Tato směrnice CER pro subjekty ve veřejné správě (a jejich dodavatele) bude promítnuta do nového zákona o kritické infrastruktuře, jehož návrh však vláda zatím nepředložila Poslanecké sněmovně.

„V praxi to znamená, že mnoho firem bude muset sledovat nejen vývoj nZKB, ale také sledovat přijetí nového zákona, který přinese další povinnosti v oblasti ochrany kritických odvětví,“ upozorňuje Amler.

Specifická pravidla pak budou platná pro firmy působící ve finančním sektoru, zejména bankovní instituce. Tyto subjekty se nebudou primárně řídit nZKB, ale místo toho spadají pod nařízení DORA, které stanovuje specifické požadavky na kybernetickou odolnost finančních institucí.