Uplynulý rok přinesl řadu změn v oblasti regulace kybernetické bezpečnosti, a to jak na celounijní, tak národní úrovni. V lednu se stalo závazným evropské nařízení o digitální provozní odolnosti finančního sektoru (DORA), v září následoval akt o datech (EU Data Act) a v listopadu vešel v účinnost tuzemský zákon o kybernetické bezpečnosti (ZoKB), nahrazující původní předpis z roku 2014.
Tento zákon a jeho prováděcí vyhlášky implementují do českého právního řádu novelu evropské směrnice o bezpečnosti sítí a informací (NIS2) z roku 2023, která reaguje na rostoucí sofistikovanost kybernetických hrozeb a potřebu jednotného přístupu napříč EU.
Zatímco původní právní úprava se týkala pouhých několika stovek strategických organizací, nový zákon dopadá na tisíce firem a institucí. Aplikačním kritériem není jen odvětví, ale i velikost. Povinnosti se vztahují na střední a velké podniky, disponující 50 a více zaměstnanci nebo ročním obratem přesahujícím 10 milionů eur, které působí v klíčových sektorech od energetiky a dopravy přes zdravotnictví až po digitální služby, potravinářství či odpadové hospodářství. Podle odhadů Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), který je gestorem zákona, se počet regulovaných subjektů zvýší na více než 6 000.
ZoKB zavádí dvojí režim povinností, a sice vyšší a nižší, podle velikosti a významu dotčeného subjektu. Oba režimy vyžadují zavedení organizačních a technických opatření, mezi které patří například implementace opatření pro řízení rizik, zajištění kontinuity činností, hlášení bezpečnostních incidentů nebo správa identit a řízení přístupů. Vrcholové vedení organizací musí být aktivně zapojeno do oblasti řízení kybernetické bezpečnosti, včetně povinného školení. Podrobnosti jsou uvedeny v ZoKB a jeho prováděcích vyhláškách, jež detailně stanovují, jaká opatření je nutné zavést.
Nový zákon zavádí také přísnější sankce. V případě neplnění povinností hrozí pokuta až 250 milionů Kč nebo 2 % z celosvětového ročního obratu, podle toho, která částka je vyšší.
Implementace požadavků ZoKB není otázkou dnů. Zavedení příslušných procesů vyžaduje čas i investice. Společnost Deloitte vám pomůže zhodnotit aktuální stav připravenosti a identifikovat potenciální nedostatky. Doporučeným postupem je provést gap analýzu, sestavit akční plán a následně implementovat opatření do praxe.
Semináře, webcasty, pracovní snídaně a další akce pořádané společností Deloitte.
