Vznikající zákonná úprava vychází z evropské směrnice NIS2 přijaté v prosinci 2022, která zavazuje subjekty v rámci EU, aby zajistily bezpečnost svých sítí a informačních systémů. Nová pravidla by se mohla podle dřívějších odhadů NÚKIB týkat více než 6 000 subjektů v Česku. Podle stávajících pravidel je povinných osob přibližně 400.

Nejdůležitější principy zákona

Nový zákon zavede nový postup pro určování povinných osob, a to zásadním způsobem a dojde k dramatickému nárůstu těchto povinných osob. Regulace dopadne především na střední a velké podniky.

Kromě zákonem vyjmenovaných služeb, které subjekty poskytují, bude pro určení povinných subjektů rozhodující i jejich velikost. Jsou definovány dva režimy povinností. Do vyššího, označovaného jako „essential“ by měla spadat zhruba tisícovka povinných subjektů, zbývající by měly naplňovat kritéria pro nižší režim označovaný jako „important“. Poskytovatelé by měli podle předpisu vyhodnotit sami, zda kritéria naplňují, NÚKIB ale bude moci zaregistrovat povinný subjekt podle vlastního vyhodnocení hodnotících kritérií.

Kromě kontaktních a dalších povinných údajů budou povinné subjekty muset nahlásit i kybernetické bezpečnostní incidenty a své zákazníky o incidentech a hrozbách informovat.

Povinné subjekty, které poskytují tzv. klíčové služby, budou mít povinnost zajistit bezpečnost dodavatelského řetězce. Tato pravidla se mají podle odhadu NÚKIB týkat asi 150 subjektů zařazených do kategorie strategicky významné infrastruktury státu. Jde například o subjekty z oblasti veřejné správy, energetiky, letecké a drážní dopravy, ale také poskytovatele digitální infrastruktury a služeb.

Mechanismus pro prověřování dodavatelů má umožnit odhalit nedůvěryhodné dodavatele technologických prvků nejvýznamnější, tzv. strategické infrastruktury.

Dopad na regulované firmy bude značný

Tím, že s novým zákonem se značně rozšíří počet povinných osob, můžeme říct, že dopad na některé organizace bude velmi vysoký. Řeč je o subjektech, na které se stávající zákon o kybernetické bezpečnosti nevztahoval a jejich úroveň kybernetické bezpečnosti není příliš vysoká. Jistou výhodu zde mají subjekty, které jsou již v současné době regulovány, případně podniky, které mají dobře a funkčně implementováno ISO 27001, což může být dobrým začátkem.

Organizace, které budou novým zákonem ovlivněny, by v současné době měly aktivně sledovat legislativní dění a proces tak, aby měly k dispozici aktuální informace. Již z návrhů zákona a vyhlášek, které byly zveřejněny pro veřejné připomínky lze dobře připravit metodiku pro následnou implementaci jednotlivých opatření do prostředí organizace. V souvislosti s plánem jednotlivých částí je dobrým doporučením tvorba harmonogramu tak, aby organizace stihla zavést všechna opatření a vyplývající povinnosti včas.

Pro subjekty je velmi vhodné určit rozsah řízení kybernetické bezpečnosti a identifikovat primární a podpůrná aktiva. V souvislosti s tím by mělo dojít k revizi směrnic a interních předpisů, případně k jejich úpravě. Je vhodné také revidovat dodavatelské smluvní vztahy a zakotvenou oblast kybernetické bezpečnosti v nich.

Pokud v organizacích již neprobíhá školení zaměstnanců v oblasti kybernetické bezpečnosti v rámci rozvoje bezpečnostního povědomí, je také vhodné i nyní vytvořit metodiku, způsob a plán těchto školení a začlenit je do procesů organizace. Školení se v novém zákoně netýká pouze zaměstnanců, ale povinnost zvyšovat svoje bezpečnostní povědomí má i vrcholové vedení, které se musí školení účastnit.

Za nedodržování hrozí milionové sankce

Nový zákon s sebou přináší také razantní změny ve výši možných sankcí a pokut v případě nenaplnění zákonných povinností. Za přestupek bude možné uložit pokutu až do výše 250 mil. Kč nebo do výše 2 % čistého celosvětového ročního obratu v případě osob ve vyšším režimu plnění a do výše 175 mil. Kč nebo do výše 1,4 % čistého celosvětového ročního obratu v případě osob v nižším režimu povinností. Rozhodující částkou bude vždy ta vyšší.

V případě nesplnění povinností je dále možné pozastavit platnost certifikace o zajištění kybernetické bezpečnosti regulované službě v režimu vyšších povinností, a to až do doby odstranění nedostatků, které byly při kontrole zjištěny, nejméně však na 6 měsíců.

Soud může rovněž na základě návrhu NÚKIB pozastavit výkon řídící funkce až do doby odstranění zjištěných nedostatků, nejméně opět na 6 měsíců. Tento postih může být udělen opět regulovaným službám ve vyšším režimu plnění povinností, které opakovaně nebo závažně porušují povinnosti.

Pořádkové pokuty mohou být NÚKIBem ukládány do výše 100 000 Kč, a to i opakovaně. Jejich celková výše však nesmí přesáhnout 10 mil Kč. Nebo 1 % čistého obratu za poslední ukončené účetní období. Rozhodující je opět vyšší částka.

Legislativní proces

NÚKIB po uzavření diskuze s veřejností chtěl návrhy nového zákona posunout dále do mezirezortního připomínkového řízení původně v květnu 2023, což nebylo realizováno a dojde ke zpoždění jednoho až dvou měsíců. Očekává se však, že v průběhu června by měly být upravené návrhy zákona již v mezirezortním řízení.

Celkově NÚKIB obdržel v rámci diskuze s veřejností 1144 unikátních podnětů. Všechny tyto podněty i s vyjádřením jsou anonymně zveřejněny. 42 % podnětů bylo neakceptováno. 15 % bylo akceptováno plně, to znamená, že nebylo třeba terminologii ani formulace, 22 % podnětů bylo akceptováno jinak, tzn. že byly přeformulovány a zbylých 21 % byly podněty spíše dotazového typu, na které by mělo být odpovězeno.

Nový zákon by měl projít legislativní radou vlády v průběhu srpna 2023, přičemž s ohledem na již zřejmý posun v případě mezirezortního řízení lze odhadnout další posun opět v horizontu 1-2 měsíců. Do poslanecké sněmovny by zákon měl putovat na konci roku 2023.

Zákon by měl nabýt platnost nejpozději 17. října 2024 tak, jak vyplývá z požadavků NIS2.

Řízení dodavatelů podle návrhu nového kybernetického zákona

Řízení dodavatelů je velmi důležitou součástí kybernetické bezpečnosti, zejména z důvodu rizik, které plynou z těchto vztahů. NIS2 s sebou přináší povinnost řízení celého dodavatelského řetězce. Mechanismus prověřování bezpečnosti dodavatelského řetězce a řízení rizik se bude týkat osob regulovaných ve vyšším režimu plnění povinností. V tomto kontextu je rovněž připravována vyhláška o kritériích rizikovosti dodavatele, která definuje způsob vyhodnocení rizikovosti.

Stávající legislativa a hlavní principy

Stanovení bezpečnostních požadavků dodavatele je součástí organizačních opatření. V současném Zákoně o kybernetické bezpečnosti č. 181/2014 Sb. jsou dodavatelé uvažováni v §4 odst. 4 a ve Vyhlášce č. 82/2018 Sb. v § 8. Požadavky na smlouvy s dodavateli jsou ukotveny v příloze č. 7 vyhlášky.

V současné době je nutné stanovit pravidla pro dodavatele, která zohledňují požadavky bezpečnosti informací, evidovat všechny významné dodavatele a informovat je o evidenci, seznamovat je s pravidly organizace, řídit rizika plynoucí z jejich vztahu a napravovat zjištěné nedostatky. Smlouvy s významnými dodavateli by měly zahrnovat požadavky na bezpečnost informací, užívání dat, autorství, kontrolách či auditu, řetězení dodavatelů, řízení změn, ukončení smlouvy, řízení kontinuity, likvidace dat, sankcích aj. Smlouvy by měly být organizací pravidelně přezkoumávány z pohledu bezpečnosti informací a případně vydán návrh na úpravu či jejich doplnění.

Pokud se jedná o veřejnou zakázku, postupuje se v souladu se Zákonem o veřejných zakázkách č. 134/2016 Sb. Před jejím zadáním se provádí hodnocení rizik předmětu plnění veřejné zakázky je nutné zohlednit výsledky z analýzy při výběru dodavatele.

Pokud se NÚKIB dozví o hrozbě dodavatele v oblasti kybernetické bezpečnosti, může vydat varování, které pro povinné osoby není závazné, avšak doporučující.

Nové podmínky kyberbezpečnosti

Návrh nového zákona principiálně přebírá požadavky z dosavadního zákona, ale najdeme v něm několik změn. Dosavadní kategorie „provozovatelů“ je zrušena, ale jsou zachováni významní dodavatelé. Největší změnou, jak už bylo zmíněno, je povinnost řídit celý dodavatelský řetězec. Tato povinnost se bude týkat subjektů ve vyšším režimu plnění povinností a zároveň by se měla týkat pouze dodávek do stanovených částí významné a kritické infrastruktury. Povinné osoby budou zjišťovat a evidovat informace o dodavatelích významných dodávek a v případě změny budou reportovat NÚKIBu.

Dodavatelé budou posuzovány na základě jejich rizikovosti. Kritériem pro rizikovost je dle navrhované vyhlášky země dodavatele. Budou vydána opatření obecné povahy, která stanoví podmínky nebo využití dodávky od dodavatele, pokud by mělo dojít k ohrožení bezpečnosti ČR.

Kritéria posuzování bezpečnosti dodavatelů budou dle státu a dle jednání dodavatele. Měla by být vytvořena kategorie s důvěryhodným právním prostředím a měla by zahrnovat státy, ve kterých je např. demokraticky volená vláda nebo nezávislý soudní systém. Zároveň se bude jednat o státy, které nepovažují ČR jako nepřátelský stát a funguje v nich dělba moci. Z pohledu jednání dodavatele se bude jednat o ty, kteří respektují hospodářskou soutěž, nečelí mezinárodním sankcím, nejsou ovlivňováni zahraniční vládou nebo orgánem státní správy aj.

Autor: Libor Šrám, odborník na kybernetickou bezpečnost ze společnosti BDO 

O společnosti BDO

BDO je poradenská společnost poskytující auditorské, daňové, právní, účetní a poradenské služby. Na českém trhu působí již 30 let. S více než 500 odborníky a dlouholetou praxí se řadí k předním společnostem s tímto zaměřením v České republice, kde má kanceláře v Praze, Plzni, Brně, Domažlicích, Českých Budějovicích a Jindřichově Hradci.

BDO je v České republice zastoupena společnostmi BDO Audit s.r.o., BDO Czech Republic s.r.o., BDO Consulting s.r.o., BDO Legal s.r.o., advokátní kancelář a BDO ZNALEX, s.r.o. Společnost je součástí mezinárodní sítě BDO, která celosvětově tvoří jednu z největších sítí auditorských a poradenských skupin. Zaměstnává více jak 91 tisíc odborníků a působí ve 167 zemích, v nichž čítá více než 1 650 kanceláří.