Daně, účetnictví, právo a nejen to. Všechny klíčové novinky pro váš byznys.
Jan Zajíček | 27. Února 2023
Směrnice NIS2 navazuje na existující regulaci, která v případě ČR momentálně dopadá na asi 600 společností. Nová legislativa rozšíří povinnosti v oblasti kybernetické bezpečnosti na nesrovnatelně větší okruh subjektů. Za cíl si klade razantní posílení ochrany podnikatelů i státních organizací ve virtuálním prostředí. Jak náročná bude implementace vyhlášky? Jak vysoké náklady s sebou potřebná technická, provozní a organizační opatření ponesou? Odpoví Jan Zajíček, partner Grant Thornton.
„Dopady směrnice budou obří. Uvědomme si, že se bavíme o tisících subjektů. U těch největších se investiční náklady mohou vyšplhat i do stovek milionů korun a provozní náklady do desítek. V porovnání s NIS2 je, co do nákladů na implementaci, i GDPR malá. Nová pravidla se navíc budou týkat i segmentů, které doteď kybernetickou bezpečnost prakticky neřešily. Přestože pro podniky z těchto oblastí (například potravinářství či odpadového hospodářství) může být implementace nových mechanismů velmi náročná, jsem přesvědčený, že sjednocení pravidel, které NIS2 v oblasti kyberbezpečnosti přináší, bylo nutné. Nejen konflikt na Ukrajině ukázal, že řešení kybernetických hrozeb je esenciální ke zvýšení bezpečnosti všech občanů v České republice.
S ohledem na skutečnost, že již nyní je na trhu nedostatek specialistů, kteří jsou schopni potřebná řešení zajistit, apelujeme na dotčené společnosti, aby s implementací neotálely. Pro snadnější orientaci ve složité problematice, jsme s výkonným ředitelem Asociace kritické infastruktury ČR Michalem Morozem připravili PĚT ZÁSADNÍCH OTÁZEK A ODPOVĚDÍ K NIS2,“ uzavírá Jan Zajíček.
Protože je to po GDPR druhá evropská právní norma, která se dotkne téměř všech středních a velkých podniků v celounijním měřítku. Přitom s sebou ponese nemalé náklady spojené se zaváděním opatření technické, provozní a organizační povahy, jejichž výsledkem má být razantní posílení kybernetické ochrany podnikatelů i státních organizací v EU.
To je zatím jasné jen částečně. Minimální okruh povinných subjektů stanovuje samotná směrnice NIS2, nicméně tento okruh lze na národní úrovni dále rozšířit a NÚKIB jasně deklaroval, že tuto možnost využije. Jisté tedy je, že nová pravidla se budou týkat všech subjektů kritické infrastruktury (určených podle další nové evropské směrnice CER), všech subjektů poskytujících některé vyjmenované služby (nehledě na jejich velikost) a také většiny středních a velkých podniků v 18 klíčových odvětvích (s víc než 50 zaměstnanci a/nebo s obratem přesahujícím 10 milionů eur ročně). Konečný okruh povinných osob se však ještě nepochybně rozšíří především o menší organizace podnikající v některém z kritických odvětvích.
Jak pro koho. Pro subjekty kritické infrastruktury, pro které platí povinnosti podle současného zákona a které jsou už dnes zvyklé řídit kybernetická rizika v souladu se zákonem, půjde spíše o evoluci. Pro nově určené podniky však půjde o revoluční změny. Zákon zavede dva režimy povinností – vyšší a nižší. Rozdíly budou dány především rozdílnou mírou rizika, různou mírou státem kladených požadavků a způsobem kontroly jejich dodržování.
Konkrétní kritéria pro zařazení do vyšší kategorie sice stanoví vyhláška, nicméně pro zjednodušení lze říct, že současné povinné osoby spadnou do režimu s vyšší povinností. Klíčovou povinností bude stanovení rozsahu řízení kybernetické bezpečnosti. Pokud poskytovatel regulované služby tento krok neprovede, bude se za rozsah řízení kybernetické bezpečnosti považovat celá organizace. Následně organizace přijme bezpečnostní opatření, podrobně stanovená vyhláškami pro každý režim zvlášť.
Bezpečnostní opatření stanovená pro režim vyšších povinností budou vycházet z dosavadní právní úpravy. Základním principem bude zmapování prostředí, identifikace aktiv nezbytných pro zajištění chodu regulovaných služeb, komplexní posouzení rizik a zavedení přiměřených opatření, jimiž se daná rizika sníží na akceptovatelnou úroveň. Pro režim nižších povinností stanoví vyhláška pravidla, která budou jednodušší, méně náročná a nebudou vyžadovat větší než nezbytně nutnou míru analýzy.
Každá organizace do 90 dní od účinnosti zákona sama posoudí, zda splňuje kritéria poskytovatele regulované služby, a pokud ano, bude povinna se zaregistrovat na portálu NÚKIB. Jeho prostřednictvím bude probíhat také hlášení incidentů. Kontrola plnění povinností se bude v obou režimech lišit. V režimu vyšších povinností bude kontroly i nadále provádět NÚKIB. V režimu nižších povinností budou mít organizace povinnost zajistit na své náklady pravidelnou kontrolu autorizovanými inspektory, na jejichž činnost bude NÚKIB dohlížet.
V případě zjištěných nedostatků bude NÚKIB oprávněn uložit nápravná opatření k odstranění zjištěných nedostatků, v závažnějších případech bude oprávněn vydat výstrahu, případně uložit sankci. V případě spáchání přestupků bude úřad oprávněn ukládat pokuty, jejichž horní hranice vychází z požadavků směrnice NIS2. V režimu vyšších povinností počítá připravovaná legislativa i s dalšími tresty, mezi něž patří pozastavení platnosti certifikace a pozastavení výkonu řídící funkce fyzické osobě, o kterém bude na základě návrhu NÚKIB rozhodovat soud.
Ideálně hned. A to přesto, že nový zákon o kybernetické bezpečnosti momentálně ještě čeká celý legislativní proces. NÚKIB nicméně jeho přípravu velmi transparentně komunikuje a v lednu 2022 zveřejnil paragrafové znění včetně návrhů prováděcích vyhlášek. Návrhy ještě nepochybně doznají dílčích změn, nicméně podstatné parametry jsou definované evropskou směrnicí, tedy jsou zřejmé už dnes.
Hlavním důvodem, proč řešení neodkládat, je nedostatek odborníků na kybernetickou a informační bezpečnost. Zavedení nových pravidel v celoevropském měřítku tento problém ještě umocní, protože povede k výraznému růstu poptávky po těchto expertech a s klesající nabídkou poroste jejich cena. Ať už se tedy rozhodnete postavit vlastní interní tým, nebo se spolehnete na pomoc externích specialistů, neváhejte a vyberte je dřív, než je získá někdo jiný.