NIS2 a nový zákon o kyberbezpečnosti

NIS2 a nový zákon o kyberbezpečnosti

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) nedávno předložil Legislativní radě vlády (LRV) upravený návrh nového zákona o kyberbezpečnosti. Pokud vše půjde dle předpokladů, účinnost tohoto nového zákona se očekává v prvním čtvrtletí roku 2025.

Nový zákon o kyberbezpečnosti Česká republika přijímá z důvodu vydání směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS2).

Lhůta pro transpozici směrnice NIS 2 sice uplynula již v říjnu 2024, nicméně k datu zveřejnění tohoto článku byla transponována pouze ve dvou zemích EU (Belgie a Chorvatsko). Česká republika tedy zřejmě bude patřit premianty v rámci implementace směrnice NIS2.

Dopadá na Vaši společnost NIS2?

Dle veřejně dostupných odhadů má nový zákon o kyberbezpečnosti dopadat na 6 až 10 tisíc subjektů v České republice.

Zda Vaše společnost spadá do působnosti nového zákona o kyberbezpečnosti bude posuzováno na základě několika základních hlediseka, mezi které patří:

  • odvětví ekonomiky ve kterém působíte;
  • počet zaměstnanců;
  • velikost obratu.

Mezi dotčená odvětví patří veřejná správa a výkon veřejné moci, energetika, výrobní průmysl, potravinářský průmysl, chemický průmysl, vodní hospodářství, odpadové hospodářství, doprava, digitální infrastruktura a služby, finanční trh, zdravotnictví, věda, výzkum a vzdělávání, poštovní a kurýrní služby, obranný průmysl, vesmírný průmysl.

V některých případech bude vyhodnocení, zda na Vás dopadá nový zákon o kyberbezpečnosti celkem jednoduché. V mnoha případech (dle našeho odhadu ve většině případů) toto vyhodnocení však bude poměrně komplikované, a to zejména s ohledem na možné započítávání údajů propojených osob (mateřských, dceřiných a sesterských společností).

V některých případech může být pro některé subjetky jejich zařazení mezi povinné subjekty překvapivé. Povinným subjektem je například každá osoba, která disponuje licencí na výrobu elektřiny. Pokud tedy například provozujete fotovoltaickou elektrárnu s výkonem nad 50 kW, a disponujete proto licencí na výrobu elektřiny, patříte dle stávajícího znění nárvhu nového zákona o kyberbezpečnosti mezi povinné osoby, a to v režimu nižších povinností, pokud jste středním podnikem, nebo v režimu vyšších povinností pokud jste velkým podnikem. Skutečnost, že výroba elektřiny je pro Vás pouze okrajovou činností, a Vaše společnost jinak podniká primárně v jiném sektoru je irelevantní.

Na internetu naleznete mnoho nástrojů, které Vám pomohou vyhodnotit, zda do působnosti nového zákona o kyberbezpečnosti spadáte či nikoli, nicméně doporučujeme na tyto nástroje nespoléhat.

Do tohoto posouzení spadá poměrně dost proměnných, které Vás při špatném zadání mohou dovést ke špatnému závěru. Navíc tyto nástroje obecně nejsou schopny vyhodnotit detaily propojených osob. Případná chyba Vás pak může vyjít celkem draze. Pokud mylně vyhodnotíte, že do působnosti nového zákona nepatříte, a neohlásíte se NÚKIB, může Vám být dle stávajícího znění návrhu nového zákona udělena pokuta ze strany NÚKIB ve výši 250 000 000 Kč nebo až do výše 2 % čistého celosvětového ročního obratu, podle toho, která částka je ve Vašem případě vyšší.

Můžete se však také omylem chybně zařadit do kategorie vyšších povinností, a nákladně zavádět opatření, která po Vaší společnosti zákon vůbec nevyžaduje.

Toto posouzení tedy skutečně doporučujeme svěřit do rukou odpovědných odborníků.

Jaké povinnosti nový zákon o kyberbezpečnosti přináší?

Subjekty, které spadají do působnosti nového zákona, zákon rozlišuje do dvou základních kategorií, a to na subjekty režimu vyšších povinností a subjekty v režimu nižších povinností.

Povinnosti všech subjektů jsou jak administrativní, tak technické.

Mezi administrativní povinnosti řadíme povinnosti jako povinnost ohlásit svou službu NÚKIB, hlásit incidenty a případně postupovat v souladu s pokyny NÚKIB při jejich řešení, nastavit interní procesy a přidělit role, tak aby byla zajištěn řádný cybersecurity management, školit odpovědné osoby či zohledňovat požadavky nového zákona při výběru dodavatelů a zahrnovat určitá ujednání do smluv s některými dodavateli.

Mezi technické povinnosti patří zejména zajištění fyzické bezpečnosti aktiv, správa a ověření identity osob s přístupem do informačního prostředí subjektu, zavedení autentizačních mechanismů, zavedení nástrojů pro detekci kybernetických událostí a incidentů, zajišťování bezpečnostních aktualizací, pravidelné provádění penetračních testů či užívání kryptografický algoritmů.

V režimu nižších povinností, do kterého zřejmě bude patřit početně větší část dotčených subjektů, jsou pak povinnosti značně omezené a jejich splnění by nemělo klást na dotčené subjekty takové nároky.

Zákon o kybernetické bezpečnosti dává dotčeným subjektům částečně volnou ruku v tom, jaké nástroje a v jakém rozsahu zavede. V mnoha případech nebude nezbytné zavádět veškerá opatření. Pečlivé posouzení potřebného rozsahu ze strany odborníků může povinným subjektům ušetřit značné částky.

Jak efektivně implementovat požadavky nového zákona o kyberbezpečnosti?

Oblast compliance, do které spadá i implementace požadavků nového zákona o kyberbezpečnosti, patří mezi jednu z hlavních specializací naší advokátní kanceláře. V oblasti kyberbezpečnosti úzce spolupracujeme s odborníky ze společnosti WardenSec, působící v oblasti cybersecurity poradenství a specializuje se na provádění penetračních testů.

Rádi Vám pomůžeme s řešením Vašich otázek z oblasti nového kyberbezpečnostního zákona. Spolu se společností WardenSec jsme připraveni vyhodnotit dopady nového zákona na Vaši společnost, zajistit potřebná školení a provést Vás implementací požadovaných opatření v rozsahu potřebném jak pro Váš soulad se zákonem, tak pro ochranu Vaší společnosti před rostoucími hybridními hrozbami.

Kontakt

Ozvěte se nám

Kontakt

Protega, advokátní kancelář je společností dle § 2716 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, a její členové jsou zapsáni v seznamu advokátů vedeném Českou advokátní komorou:

  • Mgr. Ing. Vít Brejša, advokát
  • Mgr. Jolana Juříková, advokát
  • Mgr. Jiří Neubauer, advokát

K mimosoudnímu řešení spotřebitelských sporů ze smlouvy o poskytování právních služeb je příslušná Česká advokátní komora se sídlem Národní 16, 110 00 Praha 1, www.cak.cz.