Kybernetická bezpečnost se stává jedním z klíčových témat současného právního prostředí i celosvětového dění. S rostoucím počtem digitálních útoků a stále větší závislostí společnosti na informačních systémech je jasné, že právní rámec v této oblasti musí reagovat na nové hrozby a výzvy. Nový zákon o kybernetické bezpečnosti, který by měl zásadně proměnit současné požadavky a odpovědnosti organizací spadajících pod jeho působnost, aktuálně čeká na projednání a schválení v Senátu. O tom, co nová legislativa přinese, jaké změny čekají veřejný i soukromý sektor a jakou roli budou hrát advokáti při implementaci nových pravidel, jsme si povídali s JUDr. Mgr. Barborou Vlachovou Ph.D., LL.M., advokátkou a odbornicí na právo informačních technologií a kybernetickou bezpečnost.

 

Proč je podle Vás právě teď věnováno tolik pozornosti kybernetické bezpečnosti a jaké faktory urychlily přípravu nového zákona v České republice?

Pozornost věnovaná kybernetické bezpečnosti je přímo úměrná rostoucím a sofistikovanějším kybernetickým útokům a rostoucí závislosti na digitálních technologiích. Nový zákon v ČR urychlila potřeba harmonizace s evropskou legislativou, mediálně rezonuje zejména směrnice NIS 2. Není to nicméně jediný předpis, který určuje pravidla v oblasti kybernetické bezpečnosti. Je určitě nutné vnímat i směrnici CER, nařízení DORA, AI Act a další nové předpisy. Jak jsem zmínila, nový zákon o kybernetické bezpečnosti především transponuje směrnici NIS 2 do českého právního řádu, dochází přitom k výraznému rozšíření počtu regulovaných subjektů. Zvyšuje se i důraz na odpovědnost vedení firem za bezpečnost.

Kromě nové legislativy je bezpochyby významným faktorem i skutečnost, že na trhu je akutní nedostatek odborníků v oblasti kybernetické bezpečnosti. Bude tak třeba posílit i vzdělávání v této oblasti.

 

Můžete nám stručně představit základní principy a cíle nového zákona o kybernetické bezpečnosti?

Nový zákon o kybernetické bezpečnosti přináší zásadní změny. Mění se celý princip regulace – zatímco v současném zákoně jsou hlavním kritériem kategorie jednotlivých informačních systémů a jejich správců či provozovatelů, nově se reguluje pomocí kritéria regulované služby a velikosti subjektu. Firmy mají nově povinnost samy posoudit, zda spadají pod zákon (jedná se o tzv. samoregulaci), a registrovat se u NÚKIB. Zvyšuje se i odpovědnost vedení firem za zajištění kybernetické bezpečnosti organizace. Zároveň se – po vzoru jiných evropských regulací – zpřísňují sankce za nedodržení povinností. Jedná se jednak o nárůst maximální možné výše pokut, ale i o zavedení zcela nových sankčních mechanismů. Bude například možné pozastavit certifikaci z oblasti kybernetické bezpečnosti, nebo dočasně pozastavit výkon funkce konkrétního člena managementu společnosti. Cílem je posílit kybernetickou odolnost napříč veřejným i soukromým sektorem.

 

V čem se předpis nejvíce liší od současného právního rámce?

Nový zákon o kybernetické bezpečnosti se od stávající právní úpravy liší zejména v oblasti hlášení incidentů, novinkou je i mechanismus prověřování bezpečnosti dodavatelského řetězce, který nevychází ze směrnice NIS 2, ale je ryze národním rámcem.

Zásadní změnou je rovněž již výše zmíněný přechod od formální regulace malého počtu subjektů k robustní, plošné ochraně digitální infrastruktury v celé ekonomice.

 

Jaké typy subjektů budou nově podléhat zákonu?

Nová legislativa výrazně rozšiřuje okruh regulovaných subjektů, a to ze současných zhruba 600 na 6–10 000. Vedle kritické infrastruktury nově dopadne např. i na poskytovatele digitálních služeb, zdravotnictví, dopravu, výrobní podniky, univerzity či IT firmy. Regulace se bude obecně týkat středních a velkých podniků, tedy těch s více než 50 zaměstnanci nebo obratem nad 10 milionů EUR. I menší subjekty ale mohou být zařazeny do regulace, pokud jsou strategicky významné. Tímto se zákon nově dotkne tisíců firem a institucí, které dosud nebyly regulovány.

 

Zasáhne tato legislativa i menší firmy nebo pouze kritické infrastruktury?

Ano, nová legislativa se může dotknout i menších firem, nejen velkých hráčů nebo kritické infrastruktury. Klíčové je, že zákon se nově neodvíjí jen od „kritičnosti“, ale i od velikosti a sektoru, v němž firma působí. Menší podniky, které fungují například v IT, dopravě, zdravotnictví nebo energetice, pod zákon spadat mohou, i když nemají víc než 50 zaměstnanců nebo stanovený obrat. Výjimky se týkají i takzvaně speciálně určených subjektů, které poskytují důležité služby.

 

Zaznamenáváme snahu o harmonizaci pravidel napříč EU. Jak nový český zákon reflektuje směrnici NIS2 a další evropské předpisy v oblasti kybernetické bezpečnosti?

Nový zákon o kybernetické bezpečnosti je přímou reakcí na evropskou směrnici NIS2, cílem je harmonizace pravidel v celé EU. Již nyní lze ale říci, že díky tomu, že se jedná o právní formu směrnice, dochází k rozdílům v implementaci mezi jednotlivými členskými státy. Další legislativní akty, které se týkají kybernetické bezpečnosti, jsou pak většinou zohledněny v rámci jiným právních předpisů. Například směrnice CER je implementována prostřednictvím nového zákona o kritické infrastruktuře. AI Act a CRA mají formu nařízení a není tedy nezbytně nutná jejich implementace do českého právního řádu.

 

Předpokládá se, že firmy budou muset investovat nemalé prostředky do zajištění souladu s novým zákonem. Máte představu, jaké dopady to bude mít pro praxi, zejména pro malé a střední podniky?

Dopady nového zákona mohou být pro malé a střední podniky značné – zejména kvůli nutnosti investovat do technologií, školení a odborných služeb. Je třeba si uvědomit, že většina subjektů dosud pod zákonnou regulaci nespadala. Na druhou stranu „startovní čára“ je u jednotlivých nově povinných subjektů různá. Některé firmy dosahují vysokého stupně maturity bez ohledu na zákonnou regulace. Pro firmy bez dostatečného IT zázemí mohou nové povinnosti znamenat výraznou finanční i organizační zátěž. Pokud firmy zákonné povinnosti nesplní, hrozí jim vysoké sankce, což vytváří tlak na jejich včasné naplnění.

 

Jakou roli podle Vás mohou a měli by v tomto procesu sehrát advokáti? V čem může právní podpora nejvíce pomoci?

Advokáti, zejména se specializací na kybernetické a IT právo, hrají v procesu implementace nového zákona klíčovou roli. Advokát by měl především působit jako praktický průvodce a garant souladu s právními požadavky. Advokáti pomáhají firmám zejména s právní analýzou, zda spadají pod zákon o kybernetické bezpečnosti, a s případnou registrací u NÚKIB. Dále připravují nebo revidují interní dokumentaci (bezpečnostní politiky, směrnice, vzorové smlouvy), nastavují odpovědnost statutárních orgánů a zajišťují soulad s povinnostmi v oblasti řízení rizik, hlášení incidentů a GDPR. V neposlední řadě poskytují právní podporu při komunikaci s úřady, identifikují regulatorní rizika a chrání před sankcemi. V případě kontroly nebo správního řízení ze strany NÚKIB dochází často rovněž k poskytování právní podpory.

 

Zaznamenala jste v poslední době zvýšený zájem klientů o problematiku kybernetické bezpečnosti? Pokud ano, na co se nejčastěji ptají nebo s čím potřebují pomoci?

Ano, v posledních měsících vnímáme výrazný nárůst zájmu o kybernetickou bezpečnost, a to hlavně ze strany nově regulovaných organizací, které si začínají uvědomovat dopady nové legislativy. Klienti se nejčastěji ptají, zda pod zákon vůbec spadají, co konkrétně musí udělat a jak správně nastavit odpovědnost ve firmě. Poptávají také pomoc s dokumentací, vnitřními směrnicemi a školením zaměstnanců. Uvědomují si, že nejde jen o IT téma, ale o komplexní právní změnu, která vyžaduje jasnou strategii a důslednou přípravu.

 

Na závěr – co byste doporučila advokátům, kteří se chtějí v této oblasti více angažovat nebo chtějí klientům nabídnout služby spojené právě s kybernetickou bezpečností?

Advokátům, kteří se chtějí věnovat kybernetické bezpečnosti, doporučuji vnímat ji jako mezioborovou specializaci vyžadující právní i základní technické znalosti. Důležité je porozumět principům řízení rizik, odpovědnosti statutárních orgánů a požadavkům NIS2. Velkým přínosem je spolupráce s IT experty a schopnost klientům nabídnout komplexní službu. Zároveň doporučuji věnovat se osvětě – školit, publikovat a budovat si profil v této oblasti. Kyberbezpečnost je rostoucí právní agenda a představuje zajímavou příležitost pro specializaci.

Děkuji za rozhovor!

 

Hana Rýdlová, šéfredaktorka Bulletinu advokacie a Advokátního deníku
Foto: archiv B. Vlachové