NIS 2 a zákon o kybernetické bezpečnosti – nejdůležitější informace

Česká republika stojí před významnou změnou v oblasti kybernetické bezpečnosti. Regulaci kybernetické bezpečnosti stále zajišťuje platný zákon č. 181/2014 Sb., o kybernetické bezpečnosti, a povinnosti z něj vyplývají jen pro aktuální povinné osoby. Subjekty regulované dle nového zákona budou plnit stanovené povinnosti až se vstupem nového zákona v platnost, což bude pravděpodobně v polovině roku 2025.

Hlavním účelem této regulace je nastavení alespoň základní úrovně zabezpečení v organizacích, které poskytují své služby v ekonomicky, společensky či bezpečnostně významných odvětvích a splňují další kritéria významnosti. Rozsah regulovaných odvětví a konkrétních regulovaných služeb v těchto odvětvích byl směrnicí rozšířen, nový zákon se tedy bude vztahovat na výrazně širší množinu organizací.

Novela zákona o kybernetické bezpečnosti: Která odvětví se musí připravit?

V první řadě jde o provozovatele základních služeb, kteří jsou klíčoví pro fungování státu a společnosti. Patří sem odvětví jako:

• Energetika
• Doprava
• Bankovnictví a finance
• Zdravotnictví
• Digitální infrastruktura
• Veřejná správa

Poskytovatelé digitálních služeb

Kromě provozovatelů základních služeb se novela zákona bude vztahovat i na poskytovatele digitálních služeb, jako jsou:

• Cloudové služby
• Online tržiště
• Sociální sítě
• Poskytovatelé internetových služeb

Další důležitá odvětví

• Vodní hospodářství
• Potravinářství
• Chemický průmysl
• Poštovní služby
• Služby IKT
• Výroba a distribuce léčiv
• A mnoho dalších

Chcete-li si ověřit, zda spadá vaše společnost do kategorie, můžete použít pomůcku NBÚ:

Na koho se nový zákon vztahuje? Podívejte se zde.

Jaké jsou hlavní bezpečnostní požadavky, které by měly organizace plnit:

• Správa zranitelností a kybernetických hrozeb
• Správa aktiv
• Řízení událostí a bezpečnostních incidentů
• Postupy posuzování účinnosti opatření a kontrolní činnosti
• Kryptografická opatření
• Bezpečnost a způsobilost lidských zdrojů
  • (pravidelné přeškolování – kybernetické hrozby a bezpečnostní zásady)
• Správa identit a přístupů
• Bezpečnost informačních systémů
• Ochrana proti škodlivým kódům
• Monitorování
• Ochrana záznamů
• Dodavatelský řetězec
  • Smlouvy o bezpečnosti, pravidelné audity
• Využívání certifikovaných IKT
• Řízení informační bezpečnosti (dokumentace)
• Řízení kontinuity a obnova systémů
• Bezpečnost při vývoji
• Fyzická bezpečnost

Jaké pokuty hrozí za porušení zákona?

Nová legislativa nezapomíná ani na další osoby, které neplní povinnosti dle této legislativy, a i těm umožňuje udělit za přestupky pokuty (například když osoba neposkytne součinnost na základě žádosti NÚKIB). Těchto přestupků se může dopustit kdokoliv, kdo není regulovaným subjektem (neboli společností poskytující regulovanou službu). Další osobou tak může být například jednatel společnosti, který v rozporu s rozhodnutím o zákazu výkonu funkce tuto funkci dále vykonává.

Kromě zákazu výkonu funkce bude čelit vrcholné vedení i možnosti finanční sankce. Sankce pak lze uložit nejen vrcholnému vedení ve vyšším režimu povinností ale i v nižším. Tyto pokuty se v závislosti na druhu přestupku pohybují od 50 000 Kč do 250 000 000 Kč nebo až do výše 2 % čistého celosvětového ročního obratu dosaženého podnikem, jehož je osoba obviněná z přestupku součástí. Uvedené maximální částky mají být také odrazující.

Novela zákona o kybernetické bezpečnosti přináší významné změny, které vyžadují pozornost a přípravu ze strany dotčených subjektů. Je důležité, aby se subjekty seznámily s novými požadavky a implementovaly nezbytná opatření, aby zajistily kybernetickou bezpečnost svých systémů a údajů.