Celou Evropskou unii čekají významné změny na poli kybernetické bezpečnosti. Od 16. ledna 2023 je totiž v platnosti Směrnice Evropského parlamentu a Rady (EU) 2022/2555, ze dne 14. prosince 2022, o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (tzv. směrnice NIS2).

 

Směrnice na rozdíl od nařízení nejsou přímo vykonatelné, je tedy nejprve nutno je transponovat do národních zákonů. Lhůta pro transpozici je do 17. října 2024, od kdy nejpozději musí začít platit český zákon.

Tímto zákonem má být nový zákon o kybernetické bezpečnosti, který by měl být dle odhadů schválen do poloviny příštího roku. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) již připravil návrh zákona, který však bude teprve předložen Parlamentu, a může se tak i výrazně změnit.

Pojďme se tedy bez dalších okolků podívat, co směrnice a návrh zákona (ve stávajícím znění) budou vlastně znamenat.

 

Dosah směrnice

Právní úprava kybernetické bezpečnosti není v EU ani v ČR novinkou, již před schválením směrnice NIS2 existovala směrnice NIS, která byla transponována do zákona o kybernetické bezpečnosti, který je v ČR účinný již od 1. 1. 2015 a bude s největší pravděpodobností účinný až do jeho zrušení novým zákonem.

S čím však Směrnice přichází, je zcela zásadní rozšíření okruhu osob, na které budu povinnosti v oblasti kyberbezpečnosti dopadat.

Zatímco dosavadní úprava se vztahuje pouze na relativně úzce vymezený okruh osob, NIS2 se vztahuje na veškeré střední a velké podniky (50 a více zaměstnanců nebo roční obrat alespoň 10 mil. EUR), které poskytují kteroukoliv z více než 60 druhů služeb rozdělených do 18 odvětví. Aby to však nebylo příliš jednoduché, u vybraných služeb se však směrnice aplikuje vždy, bez ohledu na velikost poskytovatele.

Podle odhadů NÚKIB tak povinnosti dle NIS2 a nového zákona dopadnou jenom v České republice na více než 6000 subjektů, zatímco dosud dopadají pouze na cca 400. Jedná se tedy o opravdu markantní nárůst.

Příklady regulovaných činností jsou uvedeny dále v tomto článku.

 

Povinnost samoidentifikace

Každý subjekt, který naplňuje zákonné podmínky (tj. vykonává některou z uvedených činností a je středním nebo velkým podnikem, případně vykonává určité činnosti bez ohledu na velikost) je povinen se sám registrovat u NÚKIB.

Registrace u NÚKIB nebude sama o sobě procesně náročná, důležité nicméně je, aby si vedení firem ověřilo, zda se jich povinnost registrovat se týká či ne.

Každá osoba se musí dle návrhu zákona registrovat do 30 dnů ode dne, kdy se dozví o tom, že podmínky splňuje, nejpozději však do 90 dnů ode dne splnění podmínek.

Převážná většina stávajících osob, které budou podmínky splňovat, tak bude mít na registraci fakticky pouze 30 dní od účinnosti zákona (lze předpokládat, že o splnění podmínek věděly ještě před účinností zákona).

Neprovedení registrace je přitom dle návrhu zákona přestupkem, za který lze uložit pokutu ve výši až 250 000 000 Kč nebo 2 % čistého celosvětového ročního obratu, podle toho, která částka je vyšší.

Byť samozřejmě pokuty musí být ukládány ve výši přiměřené okolnostem případu a lze se domnívat, že zejména v počátku účinnosti zákona budou případné pokuty ukládány spíše shovívavěji, je nutno počítat s tím, že uloženy být mohou, a to i v relativně vysokých hladinách.

Žádný provozovatel regulovaných činností by tedy neměl povinnost samoidentifikace podceňovat a měl by si řádně a důkladně zodpovědět následující otázky:

1. Poskytuji některou z vymezených služeb či vyrábím, zpracovávám nebo distribuuji některý z vymezených produktů?
2. Jsem střední nebo velký podnik?
3. Pokud jsem malý podnik, nevykonávám činnost, na kterou se NIS2 a zákon vztahují bez ohledu na velikost?

Osoby splňující předepsaná kritéria pak mají řadu povinností, kterým se obecně věnujeme dále.

 

Regulované služby

A na jaké služby a výrobky NIS2 a zákon dopadají? S ohledem na velký rozsah činností není možné poskytnout ve stručném článku jejich kompletní přehled. Dále si proto uvedeme pouze pár příkladů, které se oproti dosavadní úpravě nemění a pár příkladů nových.

Při staru zůstává, že povinnosti nadále dopadají na poskytovatele služeb v základních kritických odvětvích, kterými jsou zejména energetika, doprava, bankovnictví, infrastruktura finančních trhů, zdravotnictví a další. Zůstávají také povinnosti provozovatelů digitální infrastruktury (např. provozovatelé výměnných uzlů, DNS, cloud computingu, datových center, veřejných sítí elektronických komunikací), provozovatelů online tržišť (tržiště umožňující třetím osobám uzavírat mezi sebou smlouvy, nejedná se tedy o klasické e-shopy) a internetových vyhledávačů.

Nově však bude zákon dopadat např. také na poskytovatele služeb managementu (řízení) služeb IKT jiným podnikatelům, poštovní a kurýrní služby, nakládání s odpady, výrobu, produkci a distribuci potravin a vybraných produktů (zdravotnické prostředky, počítače, elektronika, motorová vozidla a další) či poskytovatele platforem sociálních sítí a výzkumné organizace.

Jak je vidno na příkladech uvedených výše, seznam regulovaných činností dle NIS2 je skutečně obsáhlý, je proto třeba věnovat mu důkladnou pozornost. Nadto je třeba si uvědomit, že návrh zákona a jeho vyhlášek je v mnoha případech přísnější, než požadavky směrnice. Povinnosti dle směrnice tak mohou podle zákona dopadnout dokonce na ještě širší okruh osob, než jaký směrnice vymezuje. Bude proto jistě zajímavé (a pro povinné osoby klíčové) sledovat vývoj návrhu zákona a vyhlášek v průběhu legislativního procesu.

 

Povinnost dle NIS2 a zákona

Nejpodstatnější částí směrnice, ale především zákona, je stanovení povinností povinným osobám.

Směrnice i zákon rozliší dva režimy povinností, a to režim vyšších povinností a režim nižších povinností.

Režim vyšších povinností dopadá pouze na velké podniky, které vykonávají vybrané regulované činnosti, u zvláště kritických činností pak na všechny osoby, které tyto činnosti vykonávají bez ohledu na velikost.

Režim nižších povinností pak dopadá na všechny zbývající povinné subjekty.

Základem pro stanovení povinností je vždy analýza rizik. Každá povinná osoba musí zanalyzovat svoji činnost, identifikovat potenciální rizika v oblasti kybernetické bezpečnosti a následně přijmout příslušná opatření pro jejich eliminaci či alespoň minimalizaci.

Právě analýza rizik, zvolení a implementace vhodných opatření bude představovat jádro povinností dle směrnice a zákona.

Jednotlivé povinnosti a opatření jsou podrobně upraveny v návrhu vyhlášek k zákonu. Návrh vyhlášky upravující povinnosti v režimu vyšších povinností má včetně příloh 50 stran, návrh vyhlášky pro režim nižších povinností jich má „pouze“ 35. Je tedy zřejmé, že rozsah povinností a opatření je opravdu vysoký a není v možnostech tohoto článku je podrobněji popsat. Povinnostem dle návrhu zákona a vyhlášek se proto budeme věnovat v navazujícím samostatném článku.

Obecně jsou však povinnosti povinných osob rozděleny do dvou kategorií: organizační a technické. Každá z kategorií pak zahrnuju řadu opatření, která musí každá povinná osoba implementovat.

Organizační opatření spočívají například v povinnosti vypracovávat kyberbezpečnostní dokumentaci, zajistit provádění auditu kyberbezpečnosti, zřídit výbor pro řízení kyberbezpečnosti a řadě dalších.

Technická opatření pak spočívají např. v zajišťování fyzické bezpečnosti, zabezpečení komunikačních sítí, správě a ověřování identit, řízení přístupových oprávnění a další.

Povinnosti přitom nejsou ukládány pouze samotným povinným subjektům, ale také jejich vrcholovému vedení, které musí například absolvovat povinná školení, zajišťovat dodržování kyberbezpečnostní politiky a podobně.

Pro povinné subjekty tedy bude ze zákona vyplývat široká škála povinností, které v převážné většině případů dosud nemusely řešit. Zákon proto dává povinným subjektům dlouhé aklimatizační období, kdy je každý povinný subjekt povinen plnit tyto povinnosti až po jednom roce od okamžiku potvrzení registrace u NÚKIB.

 

Závěr

Směrnice a návrh zákona přinášejí pro velké množství osob širokou škálu povinností. Porušení povinností je pak dle návrhu zákona přestupkem, za který lze v režimu vyšších povinností uložit pokutu ve výši až 250 000 000 Kč nebo 2 % čistého celosvětového ročního obratu, podle toho, která částka je vyšší, v režimu nižších povinností až 170 000 000 Kč nebo 1,4 % čistého celosvětového obratu, podle toho, která částka je vyšší.

Porušení zákonných povinností však může založit také soukromoprávní odpovědnost. Nedodrží-li povinná osoba zákonem stanovené povinnosti v oblasti kyberbezpečnosti, přičemž v důsledku toho vznikne jiným osobám škoda (uniknou například jejich citlivá obchodní data, která povinná osoba zpracovávala), mohou se tyto poškozené osoby domáhat náhrady škody.

Zejména s ohledem na povinnost samoidentifikace a registrace u NÚKIB lze doporučit, aby potenciální povinné osoby vyhledaly odbornou pomoc jak při posuzování, zda na ně zákon dopadá či nikoliv, tak při samotném plnění povinností dle zákona a jeho vyhlášek. Jedině důkladnou přípravou se lze efektivně vyhnout riziku veřejnoprávní (pokuty) i soukromoprávní (náhrada škody) odpovědnosti za případné porušení zákona.

 

Mgr. Jiří Kučera, advokát AK Kučera & Associates
Ilustrační foto: canva.com