Kybernetická bezpečnost v jakékoliv organizaci by měla být řízena. Vezmeme-li pak jako organizaci stát, platí to vícenásobně. EU NIS – Směrnice o síťové a informační bezpečnosti a Jak jsme na tom v České republice už u nás platí a připravuje se NIS2, ke které se ještě odborná veřejnost stále ještě může vyjadřovat. Více se dozvíte z rozhovoru s Martinem Švédou, vedoucím oddělení regulace soukromého sektoru Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
Jak zdejší kyberbezpečnost ovlivnila prvotní direktiva NIS?
Česká republika měla velkou výhodu a náskok v rámci minimálně Evropské unie z toho důvodu, že se rozhodla řešit kybernetickou bezpečnost ve státě ještě před účinností směrnice NIS (Směrnice o síťové a informační bezpečnosti). Již od roku 2015 zde existovalo první znění zákona č. 181/2014 Sb., o kybernetické bezpečnosti, a to spolu se stanovením pravidel pro kritickou informační infrastrukturu a významné informační systémy přineslo první sjednocující regulaci ukládající těm nejvýznamnějším státním ale i soukromým organizacím povinnost zaobírat se kybernetickou bezpečností. S příchodem účinnosti směrnice NIS o rok později si sice zákon o kybernetické bezpečnosti vyžádal zavedení nových povinných osob a uložení některých nových dílčích povinností, ale směr, který si Česká republika dříve nastavila zůstal stejný. Z praktického pohledu můžeme mezi změnami zmínit například zavedení regulace nemocnic, což do té doby nebylo s ohledem na problematické nastavení kritérií kritické infrastruktury možné.
Připravuje se direktiva NIS2, co to může znamenat pro českou legislativu a českou soukromou a veřejnoprávní sféru?
V prvé řadě je potřeba uvést, že přesný obsah směrnice NIS2 je stále ještě předmětem přijímání na úrovni Evropské unie. Finální znění směrnice NIS2 a zveřejnění jejího finálního znění by však mělo proběhnout v následujících týdnech. Stejně jako v případě směrnice NIS bude i směrnice NIS2 požadovat změnu zákona o kybernetické bezpečnosti a jeho prováděcích právních předpisů. V prvé řadě je potřeba říci, že obecné instituty, které známe již nyní, a na kterých celá regulace kybernetické bezpečnosti stojí, například povinnost zavádět preventivní bezpečnostní opatření, hlásit kybernetické bezpečnostní incidenty, apod., zůstávají zachovány. Jednou z největších změn bude podstatné rozšíření počtu povinných osob, které pod zákon budou spadat – z nynějších stovek organizací na tisíce. To si vyžádá některé dílčí změny a úpravy obsahu zákona a NÚKIB na přípravě těchto změn již pracuje.
Jaký předpokládáte harmonogram uvedení v platnost?
Směrnice NIS2 by měla být přijata v létě 2022 a to s navrženou transpoziční lhůtou znamená, že by se změny měly v členských státech projevit nejpozději v průběhu roku 2024.
Už se ví, co to bude znamenat pro zdejší podnikatelské subjekty i veřejnoprávní sféru?
S ohledem na výše uvedené bude pod zákon o kybernetické bezpečnosti muset spadat více subjektů. Veřejnoprávní sféra by s ohledem na současnou právní úpravu již měla být zvyklá se zákonem o kybernetické bezpečnosti pracovat (z velké části se již nyní totiž jedná o tzv. významné informační systémy podle zákona) a měla by se tedy zaměřit na zlepšování své bezpečnosti. V případě podnikatelských subjektů dojde zcela jistě k regulaci takových odvětví, která doposud v České republice regulována nebyla a jsou uvedena v příloze směrnice NIS2, čímž se z jejich regulace stává pro členský stát povinnost. Stejně tak dojde v souvislosti s obsahem směrnice k rozšíření již stávajících odvětví. NÚKIB je připraven těmto subjektům v orientaci novou právní úpravou pomoci a vést je na obecné metodické úrovni jako to činil doposud.
Jak očekáváte, že by NIS2 mohla ovlivnit zdelší telekomunikační prostředí, především poskytovatele ISP a telekomunikačních služeb?
ISP a poskytovatelé telco služeb spadají pod regulaci zákona o kybernetické bezpečnosti již nyní (jako tzv. povinná osoba podle § 3 písm. a) tohoto zákona), byť jen pro ty největší a nejvýznamnější přináší tento zákona širší povinnosti, zejména zmíněné zavádění bezpečnostních opatření a hlášení kybernetických bezpečnostních incidentů. S ohledem na obsah směrnice NIS2 dojde k rozšíření této více regulované množiny i v tomto případě. Věřím nicméně, že tyto subjekty řeší svou vlastní kybernetickou bezpečnost a tedy bezpečnost jejich zákazníků již nyní, takže celou řadu bezpečnostních opatření již budou mít zavedenu.
Může se odborná veřejnost s připravovanou legislativou seznámit a poskytnout zpětnou vazbu a dát návrhy na změny?
Odborná veřejnost může již více než půl roku zasílat NÚKIBu své podněty a návrhy na změnu zákona (https://www.nukib.cz/cs/infoservis/aktuality/1831-nukib-vyzyva-odbornou-verejnost-k-zasilani-navrhu-na-zmeny-zakona-c-181-2014-sb-o-kyberneticke-bezpecnosti/). Do této chvíle této možnosti využily jen jednotky organizací. Návrh novelizace zákona NÚKIB již nyní konzultuje s relevantními gestory a má v plánu v těchto konzultacích pokračovat, například v akademickém sektoru. Poslední a v tomto případě povinnou součástí procesu přijímání novelizace právního předpisu je také mezirezortní připomínkové řízení, ve kterém jsou zástupci odborné veřejnosti, ať už z veřejného nebo podnikatelského sektoru, také zapojeni.
