Transpozice evropské směrnice NIS2 do českého právního řádu bude mít dopad na odhadem 6 000 až 10 000 českých firem, které byly dříve z působnosti předpisů o kybernetické bezpečnosti vyňaty. Co to pro ně bude znamenat a jak by měly při zavádění nových pravidel postupovat?
Předpokládané dokončení transpozice evropské směrnice NIS2 do českého právního řádu se blíží. Stane se tak prostřednictvím nového českého zákona o kybernetické bezpečnosti (ZKB) a prováděcích vyhlášek z dílny Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).
Tento legislativní posun bude mít dopad na odhadem 6 000 až 10 000 českých firem, které byly dříve z působnosti předpisů o kybernetické bezpečnosti vyňaty. Nová pravidla si vyžádají přijetí sady bezpečnostních opatření. Protože ZKB a prováděcí předpisy jsou poměrně komplexní regulací, je vhodné do implementačního procesu zapojit spektrum odborníků, které přesahuje rámec IT a zahrnuje i experty z oblasti práva a compliance.
Nesnadná samoidentifikace
Skupina potenciálně dotčených společností obecně zahrnuje střední až velké podniky v šedesáti typech služeb a téměř dvaceti odvětvích. Jedná se o služby od poskytovatelů ICT a digitálních služeb až po tradiční odvětví, jako je energetika, doprava, zdravotnictví, zásobování vodou, automobilový průmysl a potravinářství. Na rozdíl od stávajícího stavu, kdy povinné subjekty určoval sám NÚKIB, budou nově muset podniky provést tzv. samoidentifikaci, tj. samy posoudit, zda se na ně nová regulace vztahuje a případně v jakém rozsahu. V některých případech může být už tato samoidentifikace poměrně složitý proces. Určitý návod je zveřejněn na stránkách úřadu, ale odpovědnost za správně provedenou samoidentifikaci leží na povinných subjektech.
Opatření pro dodržování předpisů
Společnosti, na které se nařízení vztahuje, musí dodržovat několik souborů opatření. První sada zahrnuje organizační a provozní opatření, kterými jsou pravidla pro:
- zajišťování řízení aktiv,
- řízení rizik,
- zajišťování bezpečnosti lidských zdrojů,
- řízení kontinuity činností,
- řízení přístupů a další.
Druhý soubor zahrnuje technická opatření, jako jsou:
- detekce a zaznamenávání bezpečnostních událostí,
- používání kryptografických algoritmů,
- zabezpečení technických aktiv,
- zajištění dostupnosti služeb.
Jak je patrné u výše uvedeného, mnohé povinnosti budou mixem organizačních, provozních a technických opatření, při jejichž implementaci bude nutný komplexní přístup.
Rozsah povinností bude záviset na tom, zda subjekt spadá do tzv. režimu nižších nebo vyšších povinností, jak je definuje zákon.
Sankce až 10 milionů eur
Společnostem, které stanovené povinnosti nesplní, mohou hrozit značné sankce, v závažných případech pokuty až do výše 10 milionů eur nebo 2 % celosvětového ročního čistého obratu.
Kromě toho nesou vedoucí pracovníci, včetně jednatelů nebo členů představenstva, přímou osobní odpovědnost za dohled nad prováděním ZKB. Úřad bude oprávněn provádět kontroly kybernetické bezpečnosti, a při zjištění nedostatků může navrhnout soudu pro konkrétní osobu zákaz výkonu její řídící funkce. Podle návrhu ZKB musí vrcholový management pravidelně absolvovat školení týkající se kybernetické bezpečnosti.
Zapojte odborníky
Provádění ZKB vyžaduje pečlivé vyhodnocení použitelnosti předpisů, stanovení konkrétních povinností a provedení požadovaných opatření. Doporučujeme proto zapojení týmu odborníků v oblasti práva a IT. Takový tým bude muset provést analýzu rizik, úpravu příslušné dokumentace, nastavení správného řízení procesů, nastavení pravidel pro hlášení incidentů a v neposlední řadě výše zmíněná pravidelná školení.
Autor: Jaroslav Tajbr, partner, Eversheds Sutherland
Foto: Scott Graham, Unsplash