Směrnice NIS2 a nový Zákon o kybernetické bezpečnosti: Co potřebujete vědět?

Vše nasvědčuje tomu, že 1. 7. 2025 vstoupí v platnost nový zákon o kybernetické bezpečnosti přijatý v návaznosti na evropskou směrnici NIS2. Cílem nové legislativy je podstatné zvýšení kybernetické odolnosti soukromých i veřejných subjektů. Předpokládá se, že nové povinnosti dopadnou na cca 6 000 subjektů. Zavedeny budou také vysoké sankce - pokuty až do milionů nebo v procentech z obratu, pozastavení platnosti certifikace nebo dočasný zákaz výkonu funkce člena statutárního orgánu. Ačkoliv zákon dosud nenabyl účinnosti, je důležité se na změny včas připravit.

Dopadne na Vás nový zákon?

Pokud odpovíte kladně na obě následující otázky, je velice pravděpodobné, že na Vás regulace dopadne:

• Poskytujete regulovanou službu? Dle připravované vyhlášky 60 služeb v 18 odvětvích, a to například v oblasti energetiky, dopravy, zdravotnictví, digitální infrastruktury a služeb, veřejné správy, poštovních a kurýrních služeb nebo výrobního průmyslu.
• Jste jejím významným poskytovatelem? Dle připravované vyhlášky jsou podmínkami významnosti například velikost podniku, objem poskytovaných služeb, skutečnost, že jste držiteli určitých licencí, nebo počet zákazníků, kteří jsou na Vašich službách závislí.

Pokud si nejste jistí, vyzkoušejte praktickou kalkulačku, kterou pro lepší přehled umístil na své webové stránky Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

Kdo nejspíše bude regulovaným subjektem?

• Veřejná správa a výkon veřejné moci: kraje a obce s rozšířenou působností
• Poskytovatelé online tržišť: včetně těch působících v oblasti cestovního ruchu (např. online cestovní agentury, rezervační platformy)
• Poskytovatelé řízených (IT) služeb a poskytovatelé služeb datových center
• Zdravotnictví: subjekty poskytující zdravotní péči nebo zabývající se výrobou léčivých látek či zdravotnických prostředků
• Výrobní průmysl: subjekty zabývající se výrobou spadající do klasifikace ekonomických činností CZ-NACE (např. výroba motorových vozidel)

Koho se zákon pravděpodobně vůbec netýká?

• Mikro a malé podniky: dle klasifikace obsažené v doporučení Komise EU
• Školy (s výjimkou vysokých škol)

Režim nižších a vyšších povinností

Regulované subjekty nově spadnou do jednoho ze dvou režimů:

• režim vyšších povinností pro subjekty základní (essential)
• režim nižších povinností pro subjekty významné (important)

Podrobnosti budou upřesněny ve finálním znění zákona a provádějících vyhláškách.

Klíčové povinnosti dle nového zákona

Regulované subjekty v obou režimech budou mít následující povinnosti:

• Registrace: ohlášení regulované služby prostřednictvím elektronického formuláře v Portálu NÚKIB.
• Aktualizace údajů: Poskytnutí a průběžná aktualizace kontaktních a dalších údajů přes Portál NÚKIB.
• Stanovení rozsahu a zavedení systému řízení kybernetické bezpečnosti prostřednictvím bezpečnostních opatření podle příslušných vyhlášek
• Hlášení kybernetických bezpečnostních incidentů
• Informování klientů: Povinnost informovat uživatele o závažných kybernetických incidentech, které je mohou ovlivnit.
• Provádění protiopatření: Povinnost přijmout protiopatření, která stanoví NÚKIB v reakci na aktuální hrozby.

V rámci systému řízení kybernetické bezpečnosti zákon předpokládá přímou odpovědnost organizace a jejího managementu, nastavení systému řízení rizik v rámci vlastních sítí a informačních systémů, zavedení minimálního standardu bezpečnostních opatření včetně bezpečnosti dodavatelského řetězce, vytvoření týmu, který bude schvalovat opatření v oblasti kybernetické bezpečnosti a dohlížet na jejich dodržování nebo povinnost primárně uchovávat data na území České republiky.

Pro zavedení systému řízení kybernetické bezpečnosti a hlášení kybernetických bezpečnostních incidentů poskytuje zákon regulovaným subjektům přechodnou lhůtu 1 roku od doručení rozhodnutí o registraci.

Zakázané technologie a produkty

S novým zákonem bude mít NÚKIB velmi pravděpodobně pravomoc regulovaným subjektům možnost využívání některých rizikových dodavatelů omezit či dokonce zakázat. To by se však mělo týkat jen poskytovatelů strategicky významných služeb. Činnost NÚKIB proto budou regulované subjekty muset bedlivě sledovat a pro jistotu stavět svou IT infrastrukturu na důvěryhodných a bezpečných technologiích a produktech.

Doporučené kroky

• Sebeurčení: Vyzkoušejte si kalkulačku NÚKIB a udělejte si představu, zda na Vás nový zákon o kybernetické bezpečnosti dopadne.
• Konzultace: Vyhledejte pomoc IT specialistů a odborníků na kybernetickou bezpečnost, kteří Vaši organizaci připraví k plnění všech povinností podle nového zákona.
• Revize aktiv a dodavatelského řetězce: Posuďte svá aktiva a kybernetickou bezpečnost klíčových dodavatelů, zejména těch, kteří poskytují IT služby nebo zpracovávají citlivá data.
• Průběžné sledování změn: Sledujte aktuality na webu NÚKIB.
• Nenaleťte! Buďte opatrní, pokud Vám někdo bude nabízet, že zajistí pro Vaši organizaci kompletní služby k naplnění zákonných požadavků nového zákona o kybernetické bezpečnosti. Není to totiž jednorázová záležitost, ale naopak mnoho různých kontinuálních procesů, které musí být zavedeny a udržovány s Vaším osobním zapojením.
• Nebojte se! NÚKIB dlouhodobě razí přístup, že regulovaným subjektům spíše poskytuje podporu k naplnění zákonných povinností, než aby je sankcionoval.

S čím Vám můžeme pomoci

Orientace v novém zákoně o kybernetické bezpečnosti může být náročná. Naše advokátní kancelář Vám může poskytnout právní poradenství a pomoci Vám například s:

• Určením, zda se na Vás nový zákon vztahuje
• Interpretací požadavků zákona nebo provádějících vyhlášek
• Vypracováním a implementací některých interních politik a postupů
• Revizí smluv s dodavateli z hlediska kybernetické bezpečnosti
• Asistencí nebo zastoupením v případě kybernetického bezpečnostního incidentu nebo kontroly ze strany NÚKIB

Neváhejte nás kontaktovat a prodiskutovat Vaše konkrétní potřeby a způsob, jak se na nové požadavky připravit.