Posilování kyberbezpečnosti: nový zákon zpřísní pravidla pro české firmy
Návrh zákona předložený Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB) reflektuje nové povinnosti v oblasti kyberbezpečnosti vyplývající ze směrnice NIS 2. Střízlivý odhad je, že počet subjektů, na které nové povinnosti dopadnou, stoupne z cca 400 minimálně na 6 tisíc.
Ačkoli v ČR již zákon o kybernetické bezpečnosti existuje, rozhodl se NÚKIB jít po přijetí směrnice NIS 2 cestou přípravy nového zákona namísto novelizace toho stávajícího. NÚKIB zvolil poněkud netradiční postup: Návrh zákona nejdříve v lednu tohoto roku zveřejnil na svých stránkách a vyzval veřejnost, aby se k němu vyjádřila. Připomínek obdržel přes tisíc, přičemž více než polovinu z nich zohlednil. Teprve po dokončení této aktualizace poslal NÚKIB upravenou verzi zákona do „klasického“ legislativního procesu.
Koho se regulace týká?
Hlavním cílem zákona je zvýšení odolnosti českých firem a subjektů vůči kybernetickým útokům, tak aby se v ideálním případě neopakovaly situace, kterých jsme byli svědky např. během covidu, kdy kybernetický útok významně omezil provoz brněnské nemocnice. Regulace se bude vztahovat na společnosti a subjekty činné v odvětvích důležitých pro fungování společnosti. Těmito sektory jsou například energetika, výrobní, chemický a potravinářský průmysl, vodní a odpadové hospodářství, doprava, finanční trh a zdravotnictví. Regulace postihne především větší a střední podniky působící v těchto odvětvích. Pozornost novému zákonu by však měly věnovat i menší podniky pohybující se v uvedených odvětvích, neboť do kritérií určujících, zda bude daný podnik regulaci podléhat (celkový počet zaměstnanců a roční obrat podniku), se budou započítávat i hodnoty propojených podniků.
Nové povinnosti pro regulované subjekty
Pokud podnik naplní kritéria regulovaného subjektu, bude se muset v první řadě registrovat u NÚKIB. Zákon dále povinným subjektům stanoví povinnost zavádět technická a organizační bezpečnostní opatření. Rozsah opatření, která subjekt bude muset dodržovat, se bude odvíjet od toho, zda spadá do režimu vyšších nebo nižších povinností.
Povinné subjekty spadající do režimu vyšších povinností budou muset dále například nahlašovat veškeré kybernetické útoky a subjekty v režimu nižších povinností veškeré útoky s významným dopadem na poskytování regulovaných služeb. Jedním z nejdiskutovanějších opatření je navrhovaná povinnost vybraných subjektů prověřovat bezpečnost svých dodavatelů.
Hrozba vysokých sankcí
Za porušení některých povinností stanoví zákon pokutu až do výše 250 mil. Kč, nebo 2 % čistého celosvětového ročního obratu. Návrh zákona počítá také s novou sankcí – pozastavení výkonu řídící funkce. Ta reflektuje požadavek směrnice NIS 2 na zvýšení odpovědnosti vrcholného vedení subjektů spadajících do režimu vyšších povinností za zajištění kybernetické bezpečnosti.
Doporučené kroky
Zákon by měl být účinný od října 2024. Vzhledem ke komplexnosti této problematiky je vhodné začít se připravovat již nyní. Prvním krokem by mělo být zhodnocení, zda se na vaši společnost nová regulace vůbec vztahuje. Náš tým vám rád pomůže nejen s tímto vyhodnocením, ale také s případnou přípravou a implementací nové regulace.