Pokud byste měl vybrat z nového zákona o kybernetické bezpečnosti tři základní informace, které by měl každý znát, o co by šlo?
(i) Povinnost sebe-identifikace spojená s návazným plněním zákonných registračních a poté implementačních lhůt;
(ii) rozdělení regulace na režim vyšších a nižších povinností,
(iii) osobní odpovědnost managmentu za prosazování a naplňování organizačních a technických opatření spojená s mimořádně citelnými sankcemi (například pozastavení členství ve statutárním orgánu apod.).
Co byznys v nové úpravě kyberbezpečnosti z vašich dosavadních zkušeností nejvíce podceňuje?
(i) Zvládnutí realizace procesu povinné zákonné compliance v předepsané lhůtě, tj. do jednoho roku od obdržení rozhodnutí o určení povinnou osobou úřadem (zejména v případě subjektů v postavení sektorových zadavatelů řízených zákonem o zadávání veřejných zakázek hrozí, že se podobně jako u implementace směrnice NIS1 nemusí stihnout),
(ii) složitost negociace s obchodními partnery při zapracování požadavků do smluv v rámci řízení dodavatelského řetězce,
(iii) skutečný nesoulad interní řídící dokumentace oproti domnělému přesvědčení o aktuálním stavu připravenosti,
(iv) absence skutečně funkčních školení pracovníků společnosti a celková bezpečnostní gramotnost na úseku kybernetické bezpečnosti (ani zástupci útvarů informační a kybernetické bezpečnosti nemají mnohdy dostatečné povědomí o komplexitě požadavků právní úpravy),
(v) fakt, že ochrana kybernetické bezpečnosti je teleologicky zákonem předpokládána jako dlouhodobý a pravidelně prověřovaný proces, tj. jedná se o rezilienci (dlouhodobou odolnost) a nikoliv pouze o jednorázovou aktivitu.
Jak celkově hodnotíte současnou regulaci kyberbezpečnosti? Je odpovídající?
Není praktické, že existuje roztříštěnost právní úpravy v jednotlivých zemích EU vyvolaná skutečností, že NIS2 je směrnice a nikoliv nařízení podobně jako DORA pro finanční sektor a rovněž je těžce pro business řiditelná různá míra gold platingu lokální transponované legislativy;
nepomáhající je různá časovost účinnosti transponované legislativy v zemích EU;
absence výkladových guidelines či dalších podpůrných materiálů s centrálním přesahem do všech regulovaných jurisdikcí činí řadu interpretačních problémů;
mnohdy přísná právní úprava odrazuje některé zahraniční vendory poskytovat služby a produkty v EU;
na druhou stranu se jedná o mimořádný komplexní počin v rámci předpisů Digitální dekády, jež vzbuzuje zájem o ochranu aktiv u řady společností a přináší celkově ochranu a lepší podmínky fungování v útočníky napadaném kyberprostoru.
