Nová přísnější směrnice EU o kybernetické bezpečnosti a její dopad na podniky působící v ČR

Evropská unie představila novou směrnici o kybernetické bezpečnosti, známou jako NIS2, která bude mít výrazný dopad na více než 6 000 subjektů v České republice – od soukromých až po státní organizace. Nová legislativa ukládá rozsáhlé povinnosti a možné pokuty za jejich nedodržení dosahují desítek milionů korun. Očekává se, že požadavky NIS2 se do českého zákona o kybernetické bezpečnosti promítnou během roku 2024, s přípravami proto „není čas ztrácet čas“. Co nás se směrnicí NIS2 čeká? A co to v praxi bude znamenat pro firmy?

Co je NIS2?

NIS2 představuje aktualizovanou verzi směrnice NIS (Network and Information Security) z roku 2016, která rozšiřuje oblast působnosti a poskytuje nová opatření k posílení evropského kyberprostoru. Členské státy EU mají povinnost tuto směrnici začlenit do svého právního řádu. V České republice na to reagoval Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) návrhem nového Zákona o kybernetické bezpečnosti (ZoKB), který by měl nahradit současný zákon. V tomto případě tedy NÚKIB navrhl nevyužít cestu novelizace současného zákona, ale vytvořit zcela nový právní rámec. Přesto však některé aspekty zůstanou podobné.

Koho by se nová legislativa měla dotknout?

Nová směrnice postihne subjekty, které působí v klíčových odvětvích, mezi která patří:

• Veřejná správa.
• Energetika.
• Doprava.
• Zdravotnictví.
• Pitná a odpadní voda.
• Digitální infrastruktura.
• Poskytovatelé řízených ICT služeb a vesmírný průmysl.

NIS2 se však dotkne i dalších odvětví, jako jsou poštovní a kurýrní služby, odpadní hospodářství, chemický průmysl, potravinářství, výroba a výzkum.

Podle NÚKIB je hlavním kritériem pro určení, zda soukromá nebo veřejná organizace podléhá regulaci směrnice, současné splnění dvou následujících pravidel:

• Organizace poskytuje alespoň jednu službu uvedenou v přílohách směrnice.
• A zároveň je středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu či bilanční sumy alespoň 10 milionů EUR (přibližně 250 milionů CZK).

Dotkne se nová legislativa i Vašeho podnikání?

Důležitým aspektem nové směrnice je tzv. samoohlašovací povinnost, a to do 3 měsíců od její platnosti. Aby vás připravovaný zákon nezaskočil, vyčlenili jsme skupinu odborníků, kteří dokáží prověřit a stanovit, zda naplňujete legislativní podmínky. Kontaktujte nás.

Jak se směrnice promítne do české legislativy a jaký bude nový Zákon o kybernetické bezpečností (ZoKB)?

Jednotlivé členské státy mají čas začlenit NIS2 do svého vnitrostátního práva do 17. října 2024. V České republice by měl nový zákon o kybernetické bezpečnosti (ZoKB) stanovit dva režimy – vyšší a nižší, přizpůsobující se potřebám různě velkých organizací. Momentálně je návrh ve fázi příprav.

Návrh nového zákona o kybernetické bezpečnosti je, podobně jako současné znění, postaven na mezinárodně uznávaných standardech rodiny ISO 27000. To znamená, že nepředstavuje (s výjimkou specifických novinek) zcela nové koncepty a opatření, která by již drtivá většina společností přirozeně neaplikovala.

V rámci nové národní regulace lze předpokládat následující změny:

1. Stanovení a jasné vymezení povinností, které budou uloženy regulovaným subjektům, s ohledem na vyšší nebo nižší režim povinností.
2. Stanovení požadavků na zajištění dostupnosti služeb, které mají strategický význam.
3. Určení rozsahu řízení kybernetické bezpečnosti v souladu s novými předpisy.
4. Nastavení požadavků na implementaci bezpečnostních opatření podle konkrétního režimu, v němž je služba provozována a regulována.
5. Přenesení povinností spojených s prověřováním bezpečnosti dodavatelského řetězce na subjekty poskytující strategicky významné služby.

Implementace

Očekává se, že nový zákon připraví podnikům výrazné změny v oblasti kybernetické bezpečnosti, zahrnující identifikaci primárních aktivit, stanovení rozsahu systému řízení bezpečnosti, tvorbu bezpečnostních politik, implementaci komplexnějšího přístupu k řízení rizik a posílení důrazu na bezpečnost lidských zdrojů. Současně bude subjektům uložena povinnost sdílet informace, hlásit kybernetické bezpečnostní incidenty a zajistit bezpečnost dodavatelů, jak již bylo zmíněno.

NÚKIB bude mít pravomoc provádět kontroly a v případě nedostatků nebo porušení povinností může subjektům uložit nápravná opatření.

I přes to, že první návrh směrnice NIS2 byl předložen v roce 2020, finální verze byla zveřejněna až v prosinci 2022. Podniky by měly být připraveny adaptovat se na nová pravidla do jednoho roku od publikace novelizovaného Zákona o kybernetické bezpečnosti (ZoKB), jehož vydání se očekává na podzim letošního roku. Ovšem zavedení NIS2 bez předchozích zkušeností s implementacemi jiných standardů bývá poměrně náročný proces, který může trvat i řádu měsíců. Je proto potřeba nečekat na přijetí zákona, ale začít s přípravou co nejdříve.

Již brzy se můžete těšit na článek, který se bude podrobněji věnovat praktičtějšímu dopadu na Vaši společnost.