Pokud byste měl vybrat z nového zákona o kybernetické bezpečnosti tři základní informace, které by měl každý znát, o co by šlo?
Zaprvé rozšíření okruhu regulovaných subjektů, zadruhé výrazné zvýšení sankcí a zatřetí zpřísnění lhůt.
Nová úprava se dotkne mnohem širšího spektra subjektů – nově se vztahuje například na společnosti z obranného a potravinářského průmyslu nebo na poskytovatele poštovních a kurýrních služeb.
Zákon zároveň přináší přísnější sankční režim, kdy pokuty mohou dosáhnout až 2 % celosvětového obratu nebo 250 milionů korun.
Regulované subjekty budou muset také reagovat poměrně rychle jak na nové povinnosti – na registraci u NÚKIB mají 60 dnů, na zavedení bezpečnostních opatření jeden rok – tak i na případný vznik kybernetického bezpečnostního incidentu, kdy budou muset prvotním hlášením NÚKIB informovat již do 24 hodin od jeho zjištění.
Co byznys v nové úpravě kyberbezpečnosti z vašich dosavadních zkušeností nejvíce podceňuje?
Mám za to, že byznys bude nejvíce podceňovat rozsah nových povinností kladených na vrcholné vedení společností, a to zejména v případě, kdy společnost bude v režimu vyšších povinností.
Vrcholné vedení společností musí bezpečnost aktivně řídit, školit se a zajistit, že i dodavatelé plní odpovídající standardy. Současně s tímto souvisí i poměrně krátké lhůty pro splnění všech povinností, které podle mého názoru mohou nejen nově regulované společnosti zaskočit.
Jak celkově hodnotíte současnou regulaci kyberbezpečnosti? Je odpovídající?
Novou úpravu považuji za poměrně přísnou, ale nezbytnou s ohledem na současnou geopolitickou situaci. Reaguje na rostoucí závažnost kybernetických hrozeb a klade důraz na odolnost klíčových služeb.
Ačkoli její implementace bude pro společnosti náročná, představuje posun, který staví kyberbezpečnost na úroveň strategické priority, podobně jako je tomu u ochrany osobních údajů.
