Nový zákon o kybernetické bezpečnosti (NIS2) se od listopadu, kdy začíná být účinný, dotkne 6 000 až 10 000 subjektů. Pravidla, která byla dosud spíše doménou IT oddělení, se nově stanou právní a manažerskou otázkou nejvyšší úrovně řízení. Členové statutárních orgánů budou osobně odpovědní za to, že jejich společnosti zákonu vyhoví. Řada firem přitom nemusí tušit, že se přísnými podmínkami bude muset řídit. Vyplývá to z odpovědí expertů na IT na dotazy ČTK.
Nový zákon rozlišuje mezi režimem vyšších povinností, režimem nižších povinností a speciálním režimem pro poskytovatele digitálních služeb v závislosti na tom, jak důležitou službu s ohledem na kybernetickou bezpečnost daný subjekt poskytuje. Povinnosti se tak dotknou široké škály odvětví od energetiky a zdravotnictví přes dopravu, finance, digitální poskytovatele či veřejnou správu až po výzkumné instituce a průmyslové podniky.
Firmy nejprve musí projít procesem tzv. samoidentifikace, při kterém posoudí, zda vzhledem ke své velikosti, povaze činnosti a sektorovému zaměření spadají do regulace. „Pokud podnik zjistí, že se ho regulace týká, musí se registrovat u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Následně je povinen implementovat bezpečnostní opatření, která například zahrnují řízení aktiv a rizik, stanovení bezpečnostních rolí, zavedení bezpečnostní politiky, školení zaměstnanců i vedení a pravidelné hlášení incidentů a také důslednou správu bezpečnosti dodavatelských řetězců,“ uvedl Jiří Švejda z advokátní kanceláře Dentons.
V případě porušení pravidel hrozí podle právníků Dentons členům statutárních orgánů mimo jiné osobní odpovědnost za způsobenou škodu či nemajetkovou újmu, ručení věřitelům za dluhy společnosti, ale i vyloučení z funkce a zákaz jejího výkonu nejméně po dobu šesti měsíců. Sankce mohou dosahovat až 20 milionů korun. Firmám pak hrozí pokuty až 250 milionů korun, nebo dvě procenta z ročního obratu.
„Firmy, které se domnívají, že se jich NIS2 netýká, by si měly pečlivě zanalyzovat nejen své hlavní podnikatelské činnosti, ale i vedlejší či doplňkové aktivity. Regulace se totiž může vztahovat nejen na primární sektor jejich podnikání, ale také na související činnosti, které zasahují do regulovaných oblastí. Například firmy, které se primárně věnují logistice, výrobě, retailu nebo jiným sektorům, mohou být nepřímo regulovány, pokud jejich doplňkové aktivity zahrnují prvky klíčové infrastruktury,“ upozornil odborník na kyberbezpečnost z BDO Libor Šrám.
Nový zákon o kybernetické bezpečnosti představuje podle spoluzakladatelky České asociace umělé inteligence Petry Stupkové minimální úroveň kybernetické hygieny, kterou je potřeba dodržovat napříč EU. „AI akcelerovala množství kyberútoků, stejně tak možnosti, jak se jim bránit. Data se stala novou ropou a je o ně enormní zájem mezi firmami, ale i na černém trhu. Většina naší lidské činnosti se přesunula do sítě, napříč veškerými obory. Z těchto důvodů jsou kvalita a úroveň zabezpečení otázkou evropského významu,“ řekla.
Směrnice NIS2 je podle datového ředitele Creative Docku Adama Hanky pro českou kybernetickou bezpečnost klíčová. „Evropskou lhůtu pro implementaci jsme propásli o více než rok. A co hůř, místo abychom rozumně přijali evropský standard, opět si vylepšujeme pravidla. Takže zatímco mohlo Česko zajistit, aby měl český byznys jasno v povinnostech a standardech už dávno, strávila ČR schvalováním příliš mnoho času, a navíc do směrnice přidala vlastní, přísnější požadavky, které jdou nad rámec směrnice. Výsledkem tak sice je vyšší bezpečnost, ale také vyšší byrokracie a náklady pro firmy a organizace,“ dodal Hanka.
Směrnici NIS2 měla ČR zavést do svého práva do října minulého roku, příprava a následné schvalování se ale protáhly mimo jiné kvůli přidaným opatřením nad rámec směrnice, například pro oblast dodavatelských řetězců.
