Nový zákon o kybernetické bezpečnosti by měl být účinný od října příštího roku. V následujících dnech by jej měla obdržet vláda, oznámil na tiskové konferenci předseda sněmovní komise pro kontrolu Stálé komise pro kontrolu činnosti Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Petr Letocha (STAN).
Vznikající zákonná úprava vychází z evropské směrnice NIS2 přijaté v prosinci 2022, která zavazuje subjekty v rámci EU, aby zajistily bezpečnost svých sítí a informačních systémů. Nová pravidla by se mohla podle dřívějších odhadů NÚKIB týkat více než 6000 subjektů v Česku. Podle stávajících pravidel je povinných osob přibližně 400.
„Napříč politickým spektrem si uvědomujeme důležitost zákona. Na komisi máme většinou velkou shodu na tom, že podporujeme vznik zákona. Hrozba kybernetických incidentů stoupá a cílem zákona je připravit infrastrukturu nejen státních institucí, ale i jejich významných dodavatelů,“ poznamenal Letocha.
„Nepřicházíme s nějakou revolucí stran požadavků. Reagujeme nicméně na technologický vývoj, zohledňujeme ho do požadavků. Mění se zásadním způsobem postup určování a identifikace povinných osob a s ohledem na to dojde k jejich nárůstu,“ doplnil ředitel NÚKIB Lukáš Kintr. Legislativa podle něj dopadne například na energetiku, zdravotnictví, potravinářství nebo odpadní hospodářství.
Kromě služby, kterou poskytují, bude pro určení povinných subjektů rozhodující primárně jejich velikost, regulace dopadne téměř výhradně na střední a velké podniky. Poskytovatelé regulovaných služeb budou mít dva režimy povinností, do vyššího by jich měla spadat zhruba tisícovka, ostatní by pak měly patřit do nižší úrovně. Poskytovatelé by měli podle předpisu vyhodnotit sami, zda kritéria naplňují, NÚKIB je ale může zaregistrovat i sám.
Subjekty budou muset nahlásit kontaktní a další údaje. Také budou muset hlásit kybernetické bezpečnostní incidenty či informovat své zákazníky o incidentech a hrozbách.
Klíčové služby dostanou povinnosti i v rámci nového mechanismu, který má zajistit bezpečnost dodavatelského řetězce. Tato pravidla se mají podle odhadu NÚKIB týkat asi 150 subjektů zařazených do kategorie strategicky významné infrastruktury státu. Jde například o subjekty z oblasti veřejné správy, energetiky, letecké a drážní dopravy, ale také poskytovatele digitální infrastruktury a služeb.
Mechanismus pro prověřování dodavatelů má umožnit odhalit nedůvěryhodné dodavatele technologických prvků nejvýznamnější, tzv. strategické infrastruktury. Cílem je podle dřívějšího vyjádření Kintra předejít strategické závislosti na dodavatelích ICT technologií tak, aby se nemohla opakovat situace, jaká nastala například v případě závislosti na dodávkách ruských surovin.
