Smyslem zákona je zlepšení odolnosti digitální infrastruktury proti narůstajícím kybernetickým útokům na půdě celé Evropské unie. Ostatně i vznikající zákon, jehož účinnost je očekávána od poloviny roku 2024, vychází z evropské směrnice NIS2, která zavazuje subjekty v rámci EU, aby zajistily bezpečnost svých sítí a informačních systémů.
V prosinci 2022 byla Evropským parlamentem schválena směrnice NIS2, která stanovuje minimální požadavky na kybernetickou bezpečnost a zavazuje subjekty v rámci EU, aby zajistily bezpečnost svých sítí a informačních systémů. Cílem směrnice je zlepšit odolnost digitální infrastruktury proti kybernetickým útokům a zajistit, aby subjekty EU byly připraveny na tyto útoky a schopny reagovat na ně.
Nová pravidla ovlivní již příští rok
Transpozice směrnice NIS2 zahrnuje přijetí a implementaci nového zákona o kybernetické bezpečnosti, jehož účinnost je očekávána v polovině roku 2024. Návrh zákona o kybernetické bezpečnosti aktuálně prochází připomínkovým procesem. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) sesbíral během šesti týdnů v rámci otevřených konzultací k novému kyberzákonu téměř tisíc podnětů od odborné veřejnosti, jednotlivců i oborových asociací, kterými se nyní zabývá.
Zmiňovaný zákon má za cíl sdružit dosavadní roztříštěnou úpravu několika typů povinných osob do jedné – poskytovatele regulované služby. Poskytovatelé jsou dále regulováni dle Vyhlášky o regulovaných službách. Ta je rozděluje podle způsobu plnění zákonných povinností na poskytovatele v nižším a vyšším režimu.
Velikost je důležitá
Novým kritériem pro regulované služby je velikost organizace. Dramaticky se rozšiřuje počet povinných osob z celkového počtu 400 organizací odhadem na 6000. Naplnit požadavky zákona tak budou muset organizace uvedené v příloze Vyhlášky o regulovaných službách s velikostí podniku střední nebo velké. Je také důležité zmínit, že je upraveno pravidlo sčítání velikosti podniků. Pokud je malá společnost součástí holdingu, může z ní být rázem velká.
Návrh českého zákona do regulace vtahuje některé subjekty dle poskytované služby bez ohledu na jejich velikost. Zákon tak naplňuje povinné požadavky směrnice, ale je dále důrazněji specifikován. To ve skutečnosti znamená, že pokud z povahy NIS2 vaše organizace do regulace nespadala, je možné, že bude do české úpravy zákona vtažena.
V praxi to bude pro podniky mimo jiné znamenat zavedení rozsahu řízení kybernetické bezpečnosti a bezpečnostních opatření, hlášení kybernetických bezpečnostních incidentů a informování zákazníků, provádění protiopatření, zavedení mechanismu řízení bezpečnosti dodavatelského řetězce (v případě poskytovatelů ve vyšším režimu povinností) nebo podřízení kontrol inspektorům či dozorovému orgánu.
V případě naplnění kritérií pro identifikaci provádí organizace posouzení a následnou registraci sama, v případě kritérií pro určení s ní vede NÚKIB správní řízení o určení. Při nedodržení zákonných povinností hrozí firmám pokuta až ve výši 230 milionů korun. Nový zákon nahradí aktuálně platný zákon z roku 2014. Platit by měl začít na podzim 2024.