Nastavit alespoň základní úroveň zabezpečení v organizacích v ekonomicky, společensky či bezpečnostně významných odvětvích by měl nový zákon o kybernetické bezpečnosti, který se 1. listopadu stal účinným. Ředitel Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Lukáš Kintr sdělil, že jde po více než deseti letech o zásadní modernizaci systému zajišťování kyberbezpečnosti. Oblast se podle něj za tu dobu výrazně proměnila, a proto byla aktualizace legislativy nezbytná.

Zákon má umožnit také vyloučení technologií, které by mohly představovat bezpečnostní riziko pro stát. Pravidla počítají i s prověřováním dodavatelů technologií pro stát. Mechanismus prověřování dodavatelského řetězce má směřovat jen do nejkritičtějších částí infrastruktury. Vláda zákaz dodavatele bude moci rozšířit i do vysoce kritické infrastruktury.

Předpis počítá s rozšířením okruhu orgánů a osob, na který dopadá a jehož ochrana a fungování jsou v ekonomickém a celospolečenském zájmu. Smyslem je dosáhnout toho, aby důležité organizace zaváděly preventivní kroky k posílení své kyberbezpečnosti včetně hlášení a zvládání kybernetických bezpečnostních incidentů.

Podle IT expertů oslovených ČTK by se nový zákon mohl dotknout 6000 až 10 000 subjektů. Povinnosti se dotknou široké škály odvětví, konkrétně je definuje vyhláška. „Nový zákon významně rozšiřuje okruh regulovaných subjektů. Vedle tradičních odvětví, jako jsou energetika či telekomunikace, nově zahrnuje také potravinářství, vodárenství, odpadové hospodářství, a dotkne se i obcí s rozšířenou působností a dalších klíčových sektorů,“ uvedl Kintr.

Firmy nejprve musí při takzvané samoidentifikaci posoudit, zda vzhledem ke své velikosti, povaze činnosti a sektorovému zaměření do regulace spadají. Ohlásit, že naplnily kritéria pro registraci regulované služby, mají organizace nejpozději do 60 dnů od splnění podmínek. Většině tak vznikne ohlašovací povinnost do 60 dní od účinnosti zákona, píše NÚKIB ve webovém průvodci.

Nyní nastává náročnější období implementace pro firmy a instituce, které s požadavky kyberbezpečnosti teprve začínají, uvedl Kintr. „I pro náš úřad, jehož agenda se významně rozšíří. I přesto jsme však připraveni těmto subjektům vždy pomáhat. Stejně jako tomu bylo doposud, budeme i nadále vydávat metodiky, poskytovat poradenství a být jim partnerem při plnění nových povinností. Tento krok nás společně posouvá k bezpečnějšímu a odolnějšímu kyberprostoru,“ řekl.

Zákon zapracovává směrnici NIS2, která se měla do českého práva promítnout do minulého října. Příprava a schvalování se ale protáhly, prezident Petr Pavel zákon podepsal koncem června. Datový ředitel Creative Docku Adam Hanka ČTK řekl, že směrnice NIS2 je pro českou kyberbezpečnost klíčová, ČR si ale pravidla vylepšovala a přidala vlastní přísnější požadavky navíc. „Výsledkem tak sice je vyšší bezpečnost, ale také vyšší byrokracie a náklady pro firmy a organizace,“ míní Hanka.

Zdroj: ČTK
Foto: canva.com