personalista.com - 12. 03. 2023

Původní směrnice NIS, která platila doposud a jejíž články se propsaly do současné podoby kybernetického zákona, mířila především na kritickou infrastrukturu státu a subjekty, které se podílejí na chodu této infrastruktury. Vzhledem k tomu, že digitalizace v průběhu posledních několika let pokročila a prakticky již neexistuje odvětví, které by se bez informačních systémů obešlo, směrnice NIS2 rozšiřuje okruh o dalších nejméně šest tisíc soukromých i státních společností a regulované společnosti definuje ve dvou nových kategoriích. Tou první je základní subjekt, přičemž tyto povinné osoby mají být tím nejdůležitějším, co bude v rámci regulace chráněno. Druhou skupinou pak budou povinné osoby v kategorii důležitý subjekt. „Rozdíly mezi nimi jsou dány rozdílnou mírou rizika, která by měla být zohledněna při zavádění požadavků k řízení kyberbezpečnostních rizik, a rozdílným způsobem kontroly dodržování stanovených požadavků,“ uvádí na svých webových stránkách NÚKIB.

Směrnice tedy jednak zvýší počet regulovaných odvětví, rozšíří se stávající regulovaná odvětví o nové regulované služby a změní se i způsob identifikace povinných osob. Kybernetická bezpečnost se tedy bude muset naplňovat například při výrobě elektřiny, poskytování zdravotní péče, poskytování služeb elektronických komunikací, ale také u dalších více než šedesáti služeb roztříděných do osmnácti odvětví. „Směrnice také stanovuje kritéria, podle kterých budou subjekty vědět, zda se budou muset novým zněním kybernetického zákona řídit. Jde například o počet zaměstnanců, obrat či oblast podnikání. Znamená to, že směrnice dopadne nejen na velké, ale též i na střední podniky,“ doplňuje Lukáš Pirkl ze společnosti Algotech, která zajišťuje IT služby.

NIS 2 také například stanovuje, že vrcholný management povinných subjektů bude muset absolvovat školení, která zajistí dostatečné znalosti a dovednosti nezbytné k tomu, aby manažeři mohli identifikovat rizika a posoudit nejen postupy řízení kybernetických bezpečnostních rizik, ale i jejich dopad na poskytované služby. Dále podle Lukáše Pirkla definuje i to, jak má zabezpečení firem vypadat. „Nestanovuje sice přímo konkrétní produkty, ale udává úroveň zabezpečení, které lze dosáhnout pouze použitím produktů. Firmy tak budou muset začít už s předstihem investovat tak, aby do poloviny roku 2024 splňovaly stanovené regule,“ pokračuje s tím, že směrnice v sobě obsahuje i výrazně vyšší pokuty za nedodržení povinností. NÚKIB dále říká, že v případě porušení povinností základními subjekty hrozí pokuty, jejichž horní hranice sazby bude stanovena na nejméně 10 milionů EUR nebo na alespoň 2 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce. V případě porušení povinností důležitými subjekty bude horní hranice sazby pokuty stanovena na nejméně 7 milionů EUR nebo na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce.

Směrnice NIS 2 obsahuje změny, na které již pravděpodobně nebude možné reagovat novelizací zákona o kybernetické bezpečnosti. Proto NÚKIB, v jehož gesci se daná problematika nachází, v současnosti pracuje na novém zákonu o kybernetické bezpečnosti, který poté bude procházet klasickým legislativním procesem.