Koncem minulého roku přijali zákonodárci v EU směrnici NIS2, která má zvýšit kybernetickou bezpečnost. Teď podle ní vzniká český zákon o kybernetické bezpečnosti, který nové povinnosti uloží tuzemským firmám. Jste mezi nimi i vy?
Cílem směrnice i nového zákona a souvisejících vyhlášek je zvýšení ochrany před kybernetickými útoky. Nové povinnosti se dotknou velkého množství firem.
Jaké povinnosti návrh zákona obsahuje?
V zásadě by se povinnosti daly rozdělit na organizační a technické.
- Organizační znamenají například přijetí firemní politiky kyberbezpečnosti, určení zodpovědných osob, audity, vedení bezpečnostní dokumentace, stanovení postupů krizového řízení, zajištění business kontinuity atd.
- Technická opatření zahrnují např. zabezpečení sítí, správu a ověřování identit a přístupových oprávnění, ale také fyzické zabezpečení infrastruktury.
Přečtěte si podrobněji, co vše budou muset povinné subjekty podle zákona zařídit a dodržovat.
Samoidentifikace
Důležitým ustanovením v návrhu je, že firmy a organizace budou muset samy rozhodnout, jestli pod zákon o kybernetické bezpečnosti spadají, nebo ne. Na základě toho se musí samy aktivně registrovat na NÚKIB.
Na splnění této povinnosti máte 30 dní od okamžiku, kdy se dozvíte, že se na vás povinnosti stanovené tímto zákonem vztahují. Nejvíce ale 90 dní od okamžiku, kdy naplníte kritéria zákona, bez ohledu na to, jestli jste se o tom dozvěděli. Nelze se tedy vymlouvat, že jste si to neuvědomili.
Jak zjistit, jestli budete mít nové povinnosti?
1. Podívejte se do zákona a související vyhlášky nebo do přílohy směrnice NIS2, jestli podnikáte v některém z uvedených oborů.
2. Pokud ano, odpovězte si na otázku, jestli jste střední nebo velký podnik.
Střední podnik musí splnit dvě kritéria: má 51-250 zaměstnanců a současně roční obrat do 50 milionů EUR nebo bilanční sumu roční rozvahy maximálně 43 milionů EUR. Vše, co je nad tím, znamená již velký podnik, pod tím je malý podnik. Pozor, pokud jste součástí nějaké skupiny, musíte vzít v úvahu i vazby mezi majetkově spřízněnými organizacemi! Podrobný návod, jak velikost vyhodnocovat, nabízí NÚKIB na stránkách věnovaných NIS2. A přehledné materiály najdete také na webu ÚOHS.
3. Pokud jste malý podnik nebo podnikáte v oboru, na který se zákon nevztahuje, musíte se ještě ujistit, že nejste výjimkou a nevykonáváte činnost, pro kterou bude NIS2 a zákon platit bez ohledu na obor a velikost. Jedná se o situaci, kdy je vaše činnost pro stát nějakým způsobem důležitá (např. poskytujete strategickou službu pro stát, zajišťujete nějakou důležitou službu jako jediní v republice nebo by váš výpadek zasáhl velké množství lidí apod.). V tom případě spadnete pod zákon individuálně.
Podle návrhu by se měl zákon bez ohledu na velikost vztahovat i na různé organizace veřejné správy a veřejné instituce, jako jsou vysoké školy, profesní komory či obce s rozšířenou působností.
Když pro vás zákon bude platit, budete muset přijmout, zkontrolovat nebo zvýšit bezpečnostní opatření. A jestli patříte mezi ty šťastlivce, kterým se povinnosti vyhnou, zamyslete se alespoň nad bezpečnostním minimem, které je jen ve vašem vlastním zájmu. Hackeři se totiž na směrnice neptají.
Potřebujete poradit, jestli pod povinnosti zákona spadáte a jak jste na tom s bezpečností? Obraťte se na nás, odborně vaše podnikání posoudíme. Doporučíme, jak literu zákona naplníte, a opatření pro vás realizujeme. Od vypracování postupů a politik, až po nasazení vhodných bezpečnostních prvků s ohledem na vaše podmínky a organizační i finanční možnosti.