Článek ve formátu PDF je možné stáhnout
zde.
Dne 16. ledna 2023 vstoupila v platnost nová evropská směrnice o bezpečnosti komunikačních sítí a informací NIS2, která nejenže výrazně ovlivní návrh nového zákona o kybernetické bezpečnosti, ale také rozšíří okruh firem a institucí, kterých se budou předpisy nově týkat. České republice tedy nyní běží lhůta 21 měsíců, během níž musí být implementována do národní legislativy. A během této doby se na veškeré změny musí připravit také stávající i nově dotčené subjekty.
Původní směrnice NIS (Network and Information Security), která platila doposud a jejíž články ovlivnily současnou podobu kybernetického zákona, mířila především na kritickou infrastrukturu státu a subjekty, které se podílejí na chodu této infrastruktury. Vzhledem k tomu, že digitalizace v průběhu posledních několika let pokročila a téměř již neexistuje odvětví, které by se bez informačních systémů obešlo, směrnice NIS2 rozšiřuje okruh o dalších nejméně 6 000 soukromých i státních společností a regulované společnosti rozděluje do dvou nově definovaných kategorií. Tou první je základní subjekt, přičemž tyto povinné osoby mají být tím nejdůležitějším, co bude při regulace chráněno. Druhou skupinou budou povinné osoby v kategorii důležitý subjekt. „Rozdíly mezi nimi jsou dány rozdílnou mírou rizika, která by měla být zohledněna při zavádění požadavků k řízení kyberbezpečnostních rizik, a rozdílným způsobem kontroly dodržování stanovených požadavků,“ uvádí na svých webových stránkách NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost).
Směrnice tedy jednak zvýší počet regulovaných odvětví, jednak rozšíří stávající regulovaná odvětví o nové regulované služby a dále změní také způsob identifikace povinných osob. Kybernetická bezpečnost se proto bude muset naplňovat např. při výrobě elektřiny, poskytování zdravotní péče, poskytování služeb elektronických komunikací, ale též u dalších více než 60 služeb roztříděných do osmnácti odvětví. „Směrnice také stanovuje kritéria, podle kterých budou subjekty vědět, zda se budou muset novým zněním kybernetického zákona řídit. Jde například o počet zaměstnanců, obrat či oblast podnikání. Znamená to, že směrnice dopadne nejen na velké, ale též i na střední podniky,“ doplňuje Lukáš Pirkl ze společnosti Algotech, která zajišťuje IT služby.
NIS 2 rovněž např. stanovuje, že vrcholný management povinných subjektů bude muset absolvovat školení, která zajistí dostatečné znalosti a dovednosti nezbytné k tomu, aby manažeři mohli identifikovat rizika a posoudit nejen postupy řízení kybernetických bezpečnostních rizik, ale i jejich dopad na poskytované služby. Dále podle Lukáše Pirkla určuje i to, jak má zabezpečení firem vypadat. „Nestanovuje sice přímo konkrétní produkty, ale udává úroveň zabezpečení, kterého lze dosáhnout pouze použitím daných kategorií produktů. Firmy tak budou muset začít už s předstihem investovat tak, aby do poloviny roku 2024 splňovaly stanovené regulatorní požadavky,“ pokračuje Pirkl a dodává, že směrnice obsahuje i výrazně vyšší pokuty za nedodržení povinností. NÚKIB říká, že v případě porušení povinností základními subjekty hrozí pokuty, jejichž horní hranice sazby bude stanovena až na 10 milionů eur nebo na 2 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce. V případě porušení povinností důležitými subjekty bude horní hranice sazby pokuty stanovena na 7 milionů eur nebo 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce.
Směrnice NIS 2 obsahuje změny, na které již pravděpodobně nebude možné reagovat novelizací zákona o kybernetické bezpečnosti. Proto NÚKIB, v jehož gesci se daná problematika nachází, v současnosti pracuje na novém zákonu o kybernetické bezpečnosti, který poté bude procházet klasickým legislativním procesem.
[Tisková zpráva společnosti Algotech, březen 2023.]
(ed)