Tisíce českých firem budou muset asi od poloviny roku 2024 nově splňovat povinnosti na kyberbezpečnost. Počítá s tím směrnice Evropské unie NIS2, jejíž konečný text by měl být znám v nejbližších měsících. Česká republika pak bude mít 21 měsíců na ot, aby ji vimplementovala do své legislativy.
Povinně zajistit kyberbezpečnost se bude týkat nejen organizací, které musí své počítačové systémy zabezpečovat již nyní, ale mnoha dalších subjektů. Za neplnění povinností jim budou hrozit vysoké pokuty. Vyplývá to ze sdělení ředitele Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Lukáše Kintra a ředitele odboru regulace Adama Kučínského. NÚKIB chce o změnách zahájit veřejnou debatu, z tohoto důvodu spustil i nové stránky ZDE.
Rozšíření počtu povinných osob
„Největší změnou, kterou přináší nová kybernetická regulace, je rozšíření počtu povinných osob. Očekáváme jich kolem 6000, to znamená asi 6000 organizací bude muset povinně řešit kybernetickou bezpečnost, zavádět určitá bezpečnostní opatření,“ řekl Kučínský.
Nová opatření mají podle něj směřovat ke zvýšení odolnosti v oblasti kybernetické bezpečnosti. Směrnice prohlubuje již nyní platné předpisy. Dotčené firmy budou muset zavést preventivní opatření, aby pokud možno nedocházelo k bezpečnostním incidentům. Pokud už k nim dojde, musí mít firmy nastaveny postupy, aby potíže zvládly, tedy například určen plán, jak organizaci navrátit k provozu. Směrnice řeší i otázku bezpečnosti dodavatelského řetězce nebo povinnost interního auditu zavedených opatření.
Do dnešních dnů mělo povinnost plnit kybernetické předpisy asi 400 subjektů, nyní jich bude podle odhadů asi patnáctkrát tolik. Důvodem je, že se trojnásobně rozšiřuje počet odvětví, kterých se regulace týká. Směrnici budou muset naplnit organizace, které v daném odvětví mají nejméně 50 zaměstnanců, nebo dosahují ročního obratu ve výši nejméně deseti milionů eur (asi 245 milionů korun).
Vyšší penalizace
Významně se zvyšuje penalizace. V krajním případě může dosáhnout až deseti milionů eur nebo dvou procent celosvětového ročního obratu firmy, organizacím může být také pozastavena licence nebo fyzickým osobám zakázán výkon funkce statutárního zástupce. Podle Kintra ale není cílem NÚKIB přistupovat k likvidačním sankcím.
Kontroly bude mít v ČR na starosti NÚKIB, což pro úřad bude znamenat nárůst práce. Návrh řešení, jak situaci zvládnout, chce NÚKIB připravit. „Jsme si vědomi, že změna je poměrně podstatná. Na druhou stranu už nyní řada organizací řeší kyberbezpečnost dobrovolně, protože je to prostě nezbytné,“ řekl ředitel Kintr. Dodal, že úřad se bude snažit organizacím maximálně pomoct a usnadnit jim plnění povinností.
Platnost Směrnice mezi říjnem a prosincem
Náplň směrnice byla již podle zástupců NÚKIB v rámci EU přijata, nyní na konečném textu pracují právníci. Začátek její platnosti se očekává mezi říjnem a prosincem. Členské státy následně mají 21 měsíců na její zavedení do své legislativy. NÚKIB očekává, že schvalování novely kybernetického zákona v Česku potrvá asi 15 měsíců, na přípravu jejího znění proto bude mít úřad asi půl roku. Proto již nyní chce zahájit odbornou veřejnou debatu, jak by měl text vypadat. Zároveň chce NÚKIB plánovanou změnu využít k přepracování zákona o kybernetické bezpečnosti, který se podle jeho vedoucích pracovníků stal kvůli řadě novelizací méně přehledným.
AN
Úvodní obrázek: pixabay
Napsat komentář