Nejdříve krátká legislativní odbočka. NIS2 je právní formou směrnice. Evropské směrnice stanovují pouze obecné cíle, směr, kterým se mají vydat národní zákony jednotlivých členských států. Je pak na národních vládách, jak stanovených cílů dosáhnou. Tím se směrnice liší od evropských nařízení, jejichž text je přímo uplatnitelný a závazný pro celou EU bez rozdílu. 

Protože je NIS2 evropskou směrnicí, musí ji v České republice implementovat národní zákon. Tím je zákon o kybernetické bezpečnosti (dále ZKB) a provádějící vyhlášky, rozvádějící jednotlivá opatření do většího detailu. Určeným regulátorem v České republice je NÚKIB, který stojí i za posledním návrhem novely ZKB a vyhlášek, které požadavky směrnice reflektují. 

Jsou to právě vyhlášky, které nakonec firmy a další instituce zajímají nejvíc, protože konkrétně předepisují, jaká opatření kybernetické bezpečnosti je nutné zavést před říjnem 2024. O jakých mluvíme opatřeních? Z organizačních opatření zmiňme například existenci bezpečnostní dokumentace, určení bezpečnostních rolí v organizaci, řízení ICT dodavatelů, zajištění kontinuity činnosti podniku (Business Continuity Management) nebo školení vrcholového vedení v oblasti kybernetické bezpečnosti. Z technických opatření uveďme například řízení identit a přístupových oprávnění, detekci nežádoucích aktivit v podnikové síti a zařízeních nebo zajištění fyzické bezpečnosti podnikových prostor a ICT prostředků. Podobná opatření obsahuje jak novela ZKB vycházející z NIS2, tak aktuálně platný „starý“ zákon o kybernetické bezpečnosti.

Jaký je tedy směr vytyčený NIS2? Za prvé, NIS2 striktně určuje oblasti, které musí národní zákony kybernetické bezpečnosti pokrývat – jejich orientační přehled si můžete prohlédnout v grafice. Za druhé, NIS2 dramaticky rozšíří počet subjektů, které „spadnou“ pod národní zákony regulující kybernetickou bezpečnost. Jen v ČR odhaduje NÚKIB jejich nárůst z aktuálních zhruba 400 na více než 6000 subjektů, finální čísla však mohou být i vyšší.

Rozšíření počtu subjektů bylo dosaženo tím, že NIS2 se – zjednodušeně řečeno – vztahuje na všechny evropské firmy nad 50 zaměstnanců nebo 10 milionů EUR ročního obratu z opravdu široké palety odvětví. Mezi odvětvími najdeme „obvyklé podezřelé“ jako například energetiku, zdravotnictví nebo dopravu, ale třeba i potravinářství, poštovní služby nebo nakládání s odpady. 

Zde je dobré uvést, že dosavadní česká praxe byla výrazně odlišná. Nebyla postavená na plošných opatřeních, ale na principu analýzy rizik a cílené regulaci systémově významných hráčů. Již od počátku platnosti zákona o kybernetické bezpečnosti (který měla Česká republika ještě předtím, než začala platit předchůdkyně dnešní evropské směrnice) se Národní bezpečnostní úřad (NBÚ) a později NÚKIB zaměřovaly na velké systémově významné instituce. Šlo o banky, telekomunikační operátory nebo ministerstva, jejichž případná nefunkčnost by měla významný dopad na běh státu a společnosti. 

Je nutno podotknout, že posun k plošným opatřením, a tedy souvisejícím nákladům i na straně menších firem a institucí, neinicioval český regulátor, ačkoliv je bude nucen vymáhat. Z návrhu NIS2, která je oproti jiným směrnicím dosti preskriptivní, je cítit, že ji původně chtěla Evropská komise prosadit jako nařízení. 

NÚKIB, jako jeden z mála regulátorů v EU, již krátce po zveřejnění nové směrnice NIS2 zveřejnil svůj návrh nového zákona o kybernetické bezpečnosti a souvisejících vyhlášek a otevřel veřejnou konzultaci. Většina ostatních států EU ještě doteď nevydala návrhy zákonů. V Deloitte jsme se snažili obsah zákona shrnout přístupnou vizuální formou prostřednictvím mindmap, které najdete zde.

Výsledkem veřejné konzultace byl návrh zákona vložený v červnu 2023 do oficiálního mezirezortního připomínkového řízení, se kterým však vláda nebyla spokojená a vrátila jej k přepracování. NÚKIBu mimo jiné vytkla, že zákon je obtížně srozumitelný. S některými výhradami vlády nelze než souhlasit, návrh však měl i několik pozitiv – zejména to, že vycházel z oborové praxe a výrazně zjednodušil terminologii kolem povinných osob. Různé druhy regulovaných subjektů (KII – kritická informační infrastruktura, VIS – významné informační systémy, PZS – provozovatelé základní služby) nahradil jediným – poskytovatelem regulované služby. Také široce využil možnost aplikovat „nižší režim“ zákona pro menší firmy a organizace. Lze však namítnout, že mezi oběma režimy byl poměrně malý rozdíl a zákon kladl vysoké požadavky a související náklady i na menší hráče. 

Nyní tedy můžeme očekávat nový, aktualizovaný návrh novely ZKB a vyhlášek, který pravděpodobně dozná významných změn v terminologii a struktuře dokumentu, zároveň se ale musí pohybovat v mantinelech vytyčených směrnicí NIS2. Jeho vývoj budeme i nadále pozorně sledovat a našim klientům zaručovat kompletní servis, který jim poskytne jasnou cestu k plnému souladu se zákonem i směrnicí NIS2.

Pokud vás téma zaujalo a chcete se dozvědět víc, podívejte se na náš web.