Na koho NIS2 a ZKB dopadne

Mezi zmíněných zhruba 6 000 subjektů patří střední a velké podniky a některé podniky bez ohledu na jejich velikost celkem v 60 službách rozdělených do 18 odvětví. Mezi službami lze nalézt poskytovatele online tržišť, internetové vyhledávače, poskytovatele ICT služeb, poskytovatele cloud computingu, ale i služby z „tradičních oblastí“, jako je energetika, doprava, zdravotnictví, zajišťování vody či potravinářství.

Opatření, která budou muset subjekty dodržovat

Subjekty, na které regulace spadá, budou muset dodržovat dvě skupiny opatření. První skupinou jsou opatření bezpečnostní, mezi které patří zajišťování minimální úrovně kybernetické bezpečnosti, rozdělení bezpečnostních rolí, zavedení procesů zvládání kybernetických bezpečnostních událostí, vedení dokumentace či řízení dodavatelů a přístupu. Druhou skupinou jsou technická opatření, která zahrnují používání kryptografických algoritmů či zajišťování dostupnosti služby. Jsou stanovena i nová pravidla týkající se lokalizace dat. Rozsah nových povinností se odvíjí od toho, zda bude daný subjekt spadat do režimu nižších či vyšších povinností.

Sankce při nedodržování opatření

Pokud subjekt nesplní dané povinnosti, hrozí mu vysoká pokuta – až 250 mil. Kč nebo 2 % čistého celosvětového ročního obratu.

Nová a konkrétní odpovědnost statutárních orgánů

Statutární orgány (např. jednatel společnosti s ručením omezeným, správní rada či představenstvo v akciové společnosti) by měly implementaci požadavků zakotvených v nové regulaci věnovat zvláštní pozornost, protože na ně navrhované znění zákona o kybernetické bezpečnosti vrhá novou odpovědnost.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) může dle návrhu nového zákona provádět ve společnosti, na kterou se regulace vztahuje, kontroly v oblasti kybernetické bezpečnosti. Pokud NÚKIB zjistí v rámci této kontroly nedostatky, může dané společnosti nařídit nápravná opatření, která je společnost povinna zavést a dodržovat.

Pokud ale společnost

• je subjektem v režimu vyšších povinností a
• nápravné opatření nedodrží či nesplní a
• toto nesplnění je způsobeno závažným či opakovaným neplněním povinnosti při výkonu řídící funkce, a to např. členem statutárního orgánu,

může soud na návrh NÚKIB zakázat této osobě po dobu nejméně 6 měsíců vykonávat řídící funkci, než dojde k naplnění nápravných opatření. Pokud tedy společnost nebude plnit povinnosti v souladu s regulací, ponesou osoby v řídících funkcích přímé následky. Rozhodnutí o pozastavení funkce bude navíc zveřejněno na internetových stránkách NÚKIB.

Dle směrnice NIS2 a návrhu vyhlášek k novému zákonu musí také vrcholové vedení společností, na které úprava dopadne, absolvovat pravidelná školení o kybernetické bezpečnosti. Do působnosti statutárního orgánu je také svěřeno další množství pravomocí, jako zajišťování bezpečnostních politik, informování zaměstnanců, podílení se na vypracovávání analýz a přijímání bezpečnostních opatření.

Požadavky směrnice NIS2 a ZKB není tedy možné přesunout pouze na IT oddělení. Regulace je rozsáhlá a vyžaduje nové technologické, procesní a právní prostředí.

Pro implementaci požadavků zákona je nejdříve nutné zjistit, zda se na vaši společnost nová úprava vztahuje. Protože platí pravidlo sebeaplikace, každý potenciálně regulovaný subjekt si musí svůj status vyhodnotit sám. Dále je nutné určit které konkrétní povinnosti na vás dopadají, jaká rizika z nich vyplývají a zavést potřebné kroky – zejména technologické, týkající se úpravy dokumentace, řízení procesů, nahlašování incidentů či školení.

Nejúčinnějším způsobem, jak zajistit řádnou implementaci, je zapojení právních, IT a compliance specialistů. Takový one-stop-shop vám zajistí efektivní implementaci všech aspektů. Dobře vybraný implementační tým vám pomůže s řízením dodavatelů, firemním governance či analýzou rizik. Zároveň vyhodnotí dopady do veškeré dokumentace, ať už smluvní, či do vnitřních předpisů, a upraví je. Posoudí i komplementaritu s dalšími předpisy, které se na vaši společnost vztahují, a vyhodnotí dosavadní rozhodovací praxi úřadů či soudů, abyste se vyhnuli případným problémům. Čistě IT specialisté zase připraví technologické řešení a posoudí dopady tohoto řešení do veškerých dotčených technologií.

Článek vyšel dne 1. listopadu 2023 na webu epravo.cz. (redakčně upraveno)