Pokud byste měl vybrat z nového zákona o kybernetické bezpečnosti tři základní informace, které by měl každý znát, o co by šlo?
V prvé řadě se jedná o zásadní rozšíření okruhu subjektů, kterých se nově povinnosti týkají. Dosud se jednalo především o veřejný sektor, nová regulace však dopadá odhadem na několik tisíc subjektů z businessu, a to i z odvětví jako je například logistika či potravinářství.
Dále bych určitě zmínil komplexní pojetí kyberbezpečnosti, na kterém je zákon koncepčně vystavěn, které ji nevnímá jen jako izolovanou technickou záležitost pro IT oddělení, ale vyžaduje její zakotvení napříč procesy a fungováním organizace.
S tím souvisí třetí aspekt, kterým je osobní odpovědnost vrcholového vedení za plnění příslušných povinností.
Co byznys v nové úpravě kyberbezpečnosti z vašich dosavadních zkušeností nejvíce podceňuje?
Ve fázi posouzení, zda na příslušnou organizaci regulace nově dopadá či ne – což je potřeba provést do konce roku je třeba nezapomínat i na doplňkové aktivity, které nepředstavují primární business. Může se jednat například o nabíjecí stanici pro elektromobily umožňující veřejné využití, či sdílení vlastní energetické či telekomunikační infrastruktury s dalšími subjekty.
Jak celkově hodnotíte současnou regulaci kyberbezpečnosti? Je odpovídající?
Směrnice NIS2, kterou zákon transponuje, je součástí realizace rozsáhlejší unijní strategie pro kyberbezpečnost, zahrnující další legislativu – především Cyber Resilience Act, který bude mít podstatně širší dopad. Nyní jde tedy spíše o jeden z prvních kroků vytváření robustnějšího regulatorního rámce kyberbezpečnosti, jehož důsledky v praxi se teprve projeví.
