Zejména střední a velké podniky by měly zbystřit v souvislosti se vznikajícím zákonem o kybernetické bezpečnosti. Nově mohou totiž spadat pod jeho regulaci. Smyslem zákona je zlepšení odolnosti digitální infrastruktury proti narůstajícím kybernetickým útokům, a to na půdě celé Evropské unie. Ostatně i vznikající zákon, jehož účinnost je očekávána od poloviny roku 2024, vychází z evropské směrnice NIS2, která zavazuje subjekty v rámci EU, aby zajistili bezpečnost svých sítí a informačních systémů.
V prosinci 2022 byla Evropským parlamentem schválena směrnice NIS2, která stanovuje minimální požadavky na kybernetickou bezpečnost a zavazuje subjekty v rámci EU, aby zajistili bezpečnost svých sítí a informačních systémů. Cílem směrnice je zlepšit odolnost digitální infrastruktury proti kybernetickým útokům a zajistit, aby subjekty EU byly připraveny na tyto útoky a schopny reagovat na ně.
Transpozice směrnice NIS2 zahrnuje přijetí a implementaci Nového zákona o kybernetické bezpečnosti, jehož účinnost je očekávána v polovině roku 2024.
Vznikající zákon o kybernetické bezpečnosti, který již prochází připomínkovým procesem, sdružuje dosavadní roztříštěnou úpravu několika typů povinných osob do jedné – poskytovatele regulované služby. Poskytovatelé jsou dále regulováni dle Vyhlášky o regulovaných službách. Ta je rozděluje podle způsobu plnění zákonných povinností na poskytovatele v nižším a vyšším režimu.
Novým kritériem pro regulované služby je velikost organizace. Dramaticky se rozšiřuje počet povinných osob z celkového počtu 400 organizací odhadem na 6000. Naplnit požadavky zákona tak budou muset organizace uvedeny v příloze Vyhlášky o regulovaných službách s velikostí podniku střední nebo velké. Je také důležité zmínit, že je upraveno pravidlo sčítání velikosti podniků. Pokud je malá společnost součástí holdingu, může z ní být rázem velká. Návrh českého zákona do regulace vtahuje některé subjekty dle poskytované služby bez ohledu na jejich velikost. Zákon tak naplňuje povinné požadavky směrnice, ale je dále důrazněji specifikován. To ve skutečnosti znamená, že pokud z povahy NIS2 vaše organizace do regulace nespadala, je možné, že bude do české úpravy zákona vtažena.
V praxi to bude pro podniky mimo jiné znamenat zavedení rozsahu řízení kybernetické bezpečnosti a bezpečnostních opatření, hlášení kybernetických bezpečnostních incidentů a informování svých zákazníků, provádění protiopatření, zavedení mechanismu řízení bezpečnosti dodavatelského řetězce (v případě poskytovatelů ve vyšším režimu povinností) nebo podřízení kontrol inspektorům či dozorovému orgánu.
V případě naplnění kritérií pro identifikaci provádí organizace posouzení a následnou registraci sama, v případě kritérií pro určení s ní vede NÚKIB (Národní úřad pro kybernetickou bezpečnost) správní řízení o určení.
Při nedodržení zákonných povinností hrozí firmám pokuta až ve výši 230 milionů korun.
Pomůžeme vám
Můžete se na nás obrátit, pokud vaše firma prošla procesem samoidentifikace a již víte, že se novelizace Zákona o kybernetické bezpečnosti dotkne Vašeho podnik i pokud potřebujete s procesem pomoc. Posílili jsme náš tým a jsme připraveni nabídnout pomoc našim klientům dosáhnout souladu se zákonem. Vše bude založeno na počáteční srovnávací GAP analýze, kde zjistíme aktuální situaci vašeho podniku vůči novelizovanému zákonu. Jsme k dispozici i pro konzultace při implementaci navrhovaných změn pro dosažení souladu vaší organizace s regulací a vyhnutí se tak nemalým pokutám, vyplývajících z regulace.