Tisíce českých firem budou muset asi od poloviny roku 2024 nově splňovat povinnosti v kybernetické bezpečnosti. Počítá s tím směrnice Evropské unie NIS2, jejíž konečný text by měl být znám v nejbližších měsících. Česko poté bude mít 21 měsíců, aby ji zavedlo do své legislativy. Týkat se bude nejen organizací, které musí své počítačové systémy zabezpečovat již nyní, ale mnoha dalších subjektů. Za neplnění povinností jim budou hrozit vysoké pokuty. Novinářům to dnes řekli ředitel Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Lukáš Kintr a ředitel odboru regulace Adam Kučínský. NÚKIB chce o změnách zahájit veřejnou debatu, spustil proto i nový web nis2.nukib.cz.
„Největší změnou, kterou přináší nová kybernetická regulace, je rozšíření počtu povinných osob. Očekáváme jich kolem 6000, to znamená asi 6000 organizací bude muset povinně řešit kybernetickou bezpečnost, zavádět určitá bezpečnostní opatření,“ řekl ČTK Kučínský.
Nová opatření mají podle něj směřovat ke zvýšení odolnosti v oblasti kybernetické bezpečnosti. Směrnice prohlubuje již nyní platné předpisy. Dotčené firmy budou muset zavést preventivní opatření, aby pokud možno nedocházelo k bezpečnostním incidentům. Pokud už k nim dojde, musí mít firmy nastaveny postupy, aby potíže zvládly, tedy například určen plán, jak organizaci navrátit k provozu. Směrnice řeší i otázku bezpečnosti dodavatelského řetězce nebo povinnost interního auditu zavedených opatření.
Dosud mělo povinnost plnit kybernetické předpisy asi 400 subjektů, nyní jich bude podle odhadů asi patnáctkrát tolik. Důvodem je, že se trojnásobně rozšiřuje počet odvětví, kterých se regulace týká. Směrnici budou muset naplnit organizace, které v daném odvětví mají nejméně 50 zaměstnanců, nebo dosahují ročního obratu ve výši nejméně deseti milionů eur (asi 245 milionů korun).
Významně se zvyšuje penalizace. V krajním případě může dosáhnout až deseti milionů eur nebo dvou procent celosvětového ročního obratu firmy, organizacím může být také pozastavena licence nebo fyzickým osobám zakázán výkon funkce statutárního zástupce. Podle Kintra ale není cílem NÚKIB přistupovat k likvidačním sankcím.
Kontroly bude mít v ČR na starosti NÚKIB, což pro úřad bude znamenat nárůst práce. Návrh řešení, jak situaci zvládnout, chce NÚKIB připravit.
„Jsme si vědomi, že změna je poměrně podstatná. Na druhou stranu už nyní řada organizací řeší kybernetickou bezpečnost dobrovolně, protože je to prostě nezbytné,“ řekl ředitel Kintr. Dodal, že úřad se bude snažit organizacím maximálně pomoct a usnadnit jim plnění povinností.
Náplň směrnice byla již podle zástupců NÚKIB v rámci EU přijata, nyní na konečném textu pracují právníci. Začátek její platnosti se očekává mezi říjnem a prosincem. Členské státy následně mají 21 měsíců na její zavedení do své legislativy. NÚKIB očekává, že schvalování novely kybernetického zákona v Česku potrvá asi 15 měsíců, na přípravu jejího znění proto bude mít úřad asi půl roku. Proto již nyní chce zahájit odbornou veřejnou debatu, jak by měl text vypadat. Zároveň chce NÚKIB plánovanou změnu využít k přepracování zákona o kybernetické bezpečnosti, který se podle jeho vedoucích pracovníků stal kvůli řadě novelizací méně přehledným.