Nové povinnosti na poli kybernetické bezpečnosti v roce 2024

Směrnice NIS 2 je středem zájmu mnoha velkých společností, avšak je důležité si uvědomit dvě klíčové skutečnosti. Za prvé, nové povinnosti se nebudou týkat pouze velkých korporací; očekává se, že budou dopadat až na 7.000 subjektů. Za druhé, Na základě NIS 2 Vašim společnostem žádné nové povinnosti nemohou vzniknout, jelikož se jedná o směrnici a její obsah je nezbytné vtělit do vnitrostátní právní úpravy. V případě České republiky se tak stane zcela novým zákonem o kybernetické bezpečnosti. 

Jaké jsou tedy základní povinnosti, kterým je nezbytné věnovat pozornost? Můžete již dnes činit nějaké přípravné kroky, když zákonná úprava ještě není přijata? Kdy musíte začít, abyste vše stihli? To jsou pouze některé ze základních otázek, které Vám zodpovím v tomto článku. 

Kdy budou nová pravidla platit?

Už nyní lze říci, že předpokládaný termín pro implementaci směrnice, 18. 10. 2024, se splnit nepodaří, což může České republice způsobit obtíže, ale na druhou stranu to dává povinným subjektům další čas k přípravám. Návrh zákona o kybernetické bezpečnosti počítá s roční lhůtou pro samotnou implementaci bezpečnostních opatření. Předpokládám, že s ohledem na aktuální stav zákonodárného procesu lze očekávat přijetí zákona nejdříve na konci roku 2024. To znamená, že budete mít stále celý rok 2025 na to, abyste Vaši společnost uvedli do souladu se všemi bezpečnostními povinnostmi.

Povinnost samoidentifikace

První věc, kterou můžete už nyní provést je posouzení, zda se na Vás nové povinnosti budou vztahovat či nikoliv. Pokud bude odpověď kladná, jste po účinnosti nového zákona povinni se sami nahlásit NÚKIBu, a to do 90 dnů od naplnění níže uvedených kritérií (resp. účinnosti nového zákona o kybernetické bezpečnosti). Teoreticky se ještě může stát, že se na Vás nové povinnosti nakonec vztahovat nebudou, a to jednoduše proto, že zákon ani vyhlášky ještě neznají své finální znění a může docházet ke zpřesnění definic povinných subjektů.

Jak můžete samoidentifikaci provést? Nejdříve je nutné si stanovit, zda spadáte (s výjimkami) do kategorie středních nebo velkých podniků (nejen o velikostech podniků si můžete přečíst článek kolegy Mgr. Antonína Hajduška dostupný zde). V případě složitější majetkové struktury společnosti může již zde nastat problém. Na určení velikosti se užívají shodná pravidla jako například pro čerpání dotací, pokud si stále nevíte rady, jsme samozřejmě připraveni Vám i s tímto pomoci. Následně je třeba zhodnotit obsah a rozsah poskytovaných činností, respektive zda se ve Vašem případě jedná o tzv. regulovanou službu. Regulovanou službou se rozumí služba, jejíž narušení by mohlo mít významný dopad na zabezpečení důležitých společenských nebo ekonomických činností a jejich seznam a popis jsou upraveny ve vyhláškách k zákonu o kybernetické bezpečnosti.

Nejdůležitější závěr v rámci procesu samoidentifikace pro Vás bude, zda se zařadíte do režimu vyšších nebo nižších povinností, kdy režim vyšších povinností bude muset plnit cca 1.000 povinných subjektů a režim nižších povinností nejméně 6.000 povinných subjektů. Tyto dva režimy pak ovlivňují okruh povinností, resp. opatření, která se na Vás budou vztahovat. Pokud v rámci jedné regulované služby budete plnit povinnosti vyššího režimu, budete je muset plnit ve všech Vašich regulovaných službách.

Lidské zdroje a jejich (ne)dostatek

Klíčovým bude taktéž obstarání dostatečného personálního zajištění oblasti kyberbezpečnosti, a to jak na úrovni vlastních řad, tak z řad externistů. Ať už se tedy zařadíte do režimu nižších, nebo vyšších povinností, potřebujete jasně určit odpovědné osoby. 

Pozor si budete muset dát v případě režimu vyšších povinností, kdy bude třeba zajistit mnohem více personálních posil, a to hlavně z řad odborníků. Potřeba bude například manažer kybernetické bezpečnosti, architekt kybernetické bezpečnosti nebo také garant aktiv či auditor kybernetické bezpečnosti. Na tyto osoby jsou navíc kladeny požadavky z pohledu praxe v oblasti kybernetické bezpečnosti apod. a může být tedy velice náročné takového odborníka najít, vzhledem k možné široké poptávce v návaznosti na projednávání návrhu nového zákona.

A co když se to nepovede?

Pro případ porušení vyšších povinností jsou stanoveny pokuty ve výši až 250 mil. Kč nebo 2 % z čistého celosvětového ročního obratu. V případě porušení nižších povinností je to pak až 175 mil. nebo 1,4 % z čistého celosvětového ročního obratu.

To ale nejsou jediné sankce, dále jsou stanoveny i další postihy jako například pozastavení platnosti certifikace, pozastavení výkonu řídící funkce, pořádkové nebo donucovací pokuty.

Pár dobrých rad na závěr

• Předním doporučením tedy je začít s implementací nebo alespoň s přípravami na tyto změny s dostatečným předstihem.

• Zjistit jaký je rozdíl mezi aktuálním stavem kyberbezpečnosti ve Vaší společnosti a zákonem požadovaným cílovým stavem. 
• Vyhradit na zavedení nových povinnosti i finanční zdroje. 

Povinnosti plynoucí z nižšího režimu jsou dle odborníků minimem, které by mělo být dodržováno všemi společnostmi. Adresáty kyberútoků již dávno nejsou jen ty nejvýznamnější společnosti, ale může jím být kdokoliv. Zkuste se proto zamyslet, o kolik přijdete finančních prostředků, když nebudete mít funkční e-shop nebo se Vám zastaví výrobní linka.

Pokud byste si se samoidentifikací nebo čímkoliv v této oblasti nevěděli rady či potřebovali právní poradenství, neváhejte se na nás obrátit, rádi Vám pomůžeme.