Pokud byste měla vybrat z nového zákona o kybernetické bezpečnosti tři základní informace, které by měl každý znát, o co by šlo?
Vybrala bych povinnost samoidentifikace, dále například povinnost hlášení kybernetických incidentů a sankce.
Nový zákon o kybernetické bezpečnosti výslovně nestanovuje konkrétní seznam subjektů, na které se vztahuje, ale obsahuje pouze výčet tzv. regulovaných služeb. Podle významu této služby se poskytovatelé zařazují do režimu vyšších nebo nižších povinností. Účelem zákona není plošně regulovat všechny subjekty, ale pouze ty, jejichž služby jsou významné pro fungování společnosti a zajištění důležitých společenských nebo ekonomických činností. Každý subjekt si musí sám vyhodnotit, zda poskytuje regulovanou službu a zda splňuje zákonné podmínky. V případě kladného posouzení pak provede ohlášení Národnímu úřadu pro kybernetickou a informační bezpečnost a vyčká na rozhodnutí o registraci, po němž začne plnit své zákonné povinnosti.
Rozšiřuje se okruh subjektů s povinností hlášení kybernetických bezpečnostních incidentů. Poskytovatel regulované služby je povinen bez zbytečného odkladu, nejpozději do 24 hodin po zjištění incidentu, předložit prvotní hlášení Národnímu úřadu pro kybernetickou a informační bezpečnost. U incidentů s významným dopadem je dále dána povinnost hlásit další oznámení a podávat průběžnou zprávu a závěrečnou zprávu. Vedle toho zákon ukládá povinnost zavést příslušná vnitřní organizační a technická opatření pro detekci a zvládání incidentů. Tím se výrazně posiluje důraz na aktivní přístup k rizikům, nikoli pouze na následnou reakci.
Zákon zdůrazňuje, že kybernetická bezpečnost je součástí řízení a compliance, nikoli jen technická agenda. Pokuty v režimu vyšších povinností mohou dosahovat stovek milionů korun či procenta z obratu, což z kyberbezpečnosti činí téma, které musí být pevně zakotveno v interních procesech.
Co byznys v nové úpravě kyberbezpečnosti z vašich dosavadních zkušeností nejvíce podceňuje?
Jednou z nejčastějších slabin je podcenění vnitřních procesů a celkové kultury bezpečnosti. Společnosti mnohdy řeší pouze technickou část (firewally, antiviry, zálohy), ale zapomínají na jasné vymezení rolí a odpovědností, audit vnitřních postupů, zavedení manuálů pro řešení krizových situací a přijetí související dokumentace.
Často chybí také pravidelná školení zaměstnanců a testování jejich povědomí. Další běžnou chybou je nedostatečné mapování dodavatelského řetězce. To může vést například k tomu, že při incidentu nedojde k včasnému oznámení, protože chybí jasně nastavený proces. Z malého problému se pak snadno stane incident se značnou pokutou nebo reputační ztrátou, přitom tomu lze předejít.
Jak celkově hodnotíte současnou regulaci kyberbezpečnosti? Je odpovídající?
Současná úprava podle mého názoru odpovídá rostoucímu významu digitální bezpečnosti i reálné hrozbě útoků. Nový zákon přináší jasnější rámec, sjednocuje požadavky a přibližuje české prostředí evropským standardům. Výzvou však zůstává jeho praktická aplikace – především schopnost menších subjektů naplnit nové povinnosti bez nadměrné administrativní zátěže.
Regulace je koncepčně správná, ale některá ustanovení nejsou zcela jednoznačná a jejich výklad se teprve utváří. Klíčová proto bude praxe orgánů dohledu, případně soudů a postupné sjednocení výkladu jednotlivých povinností.
