Pokud byste měl vybrat z nového zákona o kybernetické bezpečnosti tři základní informace, které by měl každý znát, o co by šlo?
Do 30. prosince 2025, tedy do 60 dnů od nabytí účinnosti nového zákona, si v podstatě každý podnikatel musí vyhodnotit, jestli podniká v některém v zákoně uvedeném odvětví a jestli s ohledem na svoji velikost poskytuje regulovanou službu, nebo ne. Pokud ano, musí ve lhůtě svoji osobu a všechny regulované služby nahlásit NÚKIB.
Za účelem plnění zákonem požadovaných bezpečnostních opatření si poskytovatelé musí provést interní audit a vymezení rozsahu tzv. aktiv. Tedy souboru informací, služeb, IT a jiných technických prostředků a osob, za pomoci kterých poskytovatel danou regulovanou službu poskytuje a kterých k poskytování těchto služeb využívá. Pokud jste povinnou osobou podle zákona, auditu se prakticky nevyhnete.
Zákon vcelku podstatně zpřísňuje sankce za neplnění opatření proti potenciálním kybernetickým útokům, v krajním případě může NÚKIB poskytovateli uložit pokutu až do výše 250 000 000 Kč nebo 2 % z celkového ročního obratu. Stejně tak se plnění povinností podle kybernetického zákona nově stává nedílnou součástí odpovědnosti managementu a jejich péče řádného hospodáře. Řádnou implementaci nových pravidel na podnikové úrovni se tak vyplatí spíše nepodcenit.
Co byznys v nové úpravě kyberbezpečnosti z vašich dosavadních zkušeností nejvíce podceňuje?
V podstatě již samotné úvodní vyhodnocení, zda poskytovatel do působnosti nového zákona spadá, či nikoli. Okruh povinných osob se oproti předchozí úpravě podstatně rozšířil (týká se středních a velkých podniků v mnoha odvětvích).
Poskytovatelé vnímají, zatím ne příliš vážně, nový zákon jenom jako další administrativní a finanční zátěž, zejména po minulé zkušenosti s GDPR. To to je zčásti určitě pravda. Zvláště v současné době, kdy na jedné straně máme potvrzené aktivity Ruska v kyberprostoru a na straně druhé vidíme tendenci ústupu USA z role jakéhosi bezpečnostního garanta Evropy, však podle mého názoru nová legislativa dává smysl a přichází ve správnou chvíli.
Jak celkově hodnotíte současnou regulaci kyberbezpečnosti? Je odpovídající?
Cíl a směřování nového zákona, kterým je posílit odolnost poskytovatelů vůči kybernetickým hrozbám, je naprosto správný. „Po česku“ jsme si však opět kreativně přijali přísnější a náročnější úpravu pro soukromý sektor, než požaduje původní směrnice NIS2. Podle mého názoru zbytečně.
Navíc je systém právních předpisů kybernetické bezpečnosti, který je tvořen řadou naprosto klíčových předpisů na úrovni vyhlášek NÚKIB, dost složitý a běžný podnikatel se v něm nedokáže orientovat. Musí si na to najmout externistu, který ho provede ne úplně jednoduchým procesem správného nastavení vnitřního fungování kyberbezpečnosti v podniku. V tomto vnímám zásadní nedostatek nové regulace.
Právníci by si neměli psát předpisy pro právníky, ale tak aby tomu, co stát vyžaduje po poskytovatelích, rozuměli i samotní poskytovatelé. V této souvislosti lze alespoň uvítat přístup NÚKIB, který se na svých internetových stránkách snaží pravidla srozumitelně vysvětlit širší veřejnosti.
