Nový kybernetický zákon se blíží, firmy by měly připravit už teď
Foto: Unsplash
Vláda nedávno předložila parlamentu České republiky ke schválení zákon o kybernetické bezpečnosti. Ten přinese mimo jiné nové procesy, nástroje a také povinnosti pro střední a velké firmy z 18 daných odvětví. Půjde například o energetické, vodárenské nebo potravinářské firmy, ale také třeba o společnosti podnikající v IT. Nová kyberbezpečnostní legislativa v Česku podle odhadů zasáhne okolo 6 000 firem.
Cílem nového zákona o kybernetické bezpečnosti, který do české legislativy implementuje evropskou směrnici NIS2, je zvýšit odolnost firem a veřejných institucí proti kybernetickým útokům. Zákon nedávno schválila vláda a ještě ho musí projednat parlament.
„Směrnice NIS2 by měla díky novému zákonu začít platit od 18. října letošního roku. I když existuje hodně indicií, že se tento termín stihnout nepodaří, firmy by se stejně měly na jeho požadavky začít připravovat,“ popisuje start nové legislativy Eduard Pidra, expert ze společnosti EK-INDUSTRY, která se zabývá průmyslovou bezpečností.
Směrnice NIS2 by se mimo jiné měla týkat středních a velkých firem a poskytovatelů služeb důležitých pro chod státu. Jde o firmy, které buď zaměstnávají 50 a více zaměstnanců, nebo dosahují ročního obratu alespoň 10 milionů EUR (zhruba 250 milionů CZK). Kromě firem ze sektoru veřejné správy se jedná hlavně o ty z oblastí energetiky, telekomunikací, vodárenství, odpadového hospodářství, zdravotnictví, ale také třeba vojenské výroby, dopravy nebo poštovních a kurýrních služeb.
„Seznam oborů, kterých se nové povinnosti budou týkat, je skutečně široký. Zákon o nich hovoří jako o regulovaných službách a přesně je specifikuje. Nově tak bude regulováno přibližně 60 služeb v 18 odvětvích,“ říká Eduard Pidra s tím, že firmy budou muset samostatně posoudit, zda do některé z regulovaných služeb spadají.
Zákon o kybernetické bezpečnosti v souladu se směrnicí NIS2 ukládá dotčeným firmám celou řadu nových povinností. Jde přitom nejen o zpřísnění pravidel bezpečnostního řízení, ale také o širší povinnost informovat o kybernetických útocích NÚKIB a uživatele služeb. Firmy budou rovněž povinny o kyberútocích sdílet informace a podnikat proti nim aktivní a odpovídající protiopatření.
Zákon stanovuje dva režimy – přísnější režim vyšších povinností a režim nižších povinností. „Cílem této dvourychlostní koncepce je ulehčit menším firmám přijímání odpovídajících opatření. Firmy přitom musejí samy posoudit, do jakého režimu spadají. K tomu ale mohou využít odborné poradce, kteří jim mohou s problematikou okolo nové kyberbezpečnostní legislativy výrazně pomoci,“ říká Eduard Pidra. A s tím mohou začít už nyní.
„Firmy, jež předpokládají, že budou povinnostmi vyplývajícími ze směrnice NIS2 dotčeny, by se na novou legislativu měly začít připravovat už nyní, například analýzou současného stavu bezpečnosti v souladu s požadavky NIS2,“ shrnul Eduard Pidra ze společnosti EK-INDUSTRY, která tyto služby zajišťuje.
Smrt jako služba. Eutanázie v zámoří stále běžnější. V Česku musíme otevřít debatu