Neztraťte krok s NIS2 a se Zákonem o kybernetické bezpečnosti

NIS2  je modernizovaná verze směrnice NIS z roku 2016. Jejím cílem je posílit a zabezpečit evropský kyberprostor. Členské státy EU mají povinnost implementovat tuto směrnici do svého právního systému. NIS2 přináší nová opatření pro zlepšení kybernetické bezpečnosti.

• Nový Zákon o kybernetické bezpečnosti implementuje požadavky směrnice NIS2 do českého právního řádu.
• Pro společnosti je klíčové, zda spadají pod nižší nebo vyšší režim. Od toho se odvíjí jejich povinnosti.

Navržený nový Zákon o kybernetické bezpečnosti má nahradit současný zákon z roku 2014. Návrh nového zákona přináší tyto klíčové změny:

• Regulované organizace a služby: Nový zákon se týká nově regulovaných subjektů a zároveň upravuje působnost na další systémy a služby organizací, které již podléhají stávajícímu kybernetickému zákonu.
• Bezpečnost dodavatelského řetězce: Nový ZoKB klade větší důraz na bezpečnost dodavatelského řetězce.
• Hlášení incidentů: Regulované subjekty budou mít povinnost hlásit kybernetické incidenty.
• Pokuty: Maximální výše pokuty za porušení povinností zákona může činit 250 mil. Kč nebo 2 % z čistého celosvětového ročního obratu.
• Odpovědnost a povinnosti vedení: Zákon zdůrazňuje odpovědnost a povinnosti vrcholného vedení organizací.

Směrnice NIS2 byla na úrovni EU přijata v prosinci 2022. Návrh zákona byl 17. července 2024 schválen vládou. Účinnost nové regulace se předpokládá k 1. lednu 2025. K plnění některých povinností, jako například zavádění bezpečnostních opatření, zákon stanovuje roční přechodovou lhůtu.

NIS2 respektive nový Zákon o kybernetické bezpečnosti dopadne v Česku přibližně na 6 000 organizací oproti stávajícím 300. Zákon bude regulovat přes 105 služeb v 18 odvětvích. Hlavními kritérii pro určení, jestli organizace spadá pod povinnosti nového Zákona, jsou její velikost (počet zaměstnanců nebo obrat) a služby, které poskytuje (alespoň jednu tzv. regulovanou službu).

Zákon rozděluje poskytovatele regulované služby, kteří naplní daná kritéria, do dvou kategorií – režimu nižších a vyšších povinností. Pokud stále nevíte, do jaké kategorie spadáte - otestujte se pomocí našeho dotazníku.

Oproti původní směrnici NIS a Zákonu o kybernetické bezpečnosti významně naroste počet regulovaných subjektů. Zvyšují se také sankce z původních 5 milionů Kč na 250 mil. Kč (nebo 2 % celosvětového ročního obratu) a přibyly také nefinanční sankce jako pozastavení certifikace nebo pozastavení výkonu řídicí funkce vrcholného managementu. Mezi nejvýznamnější změny v povinnostech patří:

• zodpovědnost vrcholného managementu za řízení kybernetické bezpečnosti,
• nutnost kontinuálního zvyšování bezpečnostního povědomí,
• potřeba identifikovat a evidovat aktiva (u vyššího režimu pak ještě povinnost identifikovat a hodnotit rizika),
• zavedení minimálních (smluvních i bezpečnostních) požadavků na dodavatele.

Organizace musí samy posoudit, jestli splňují podmínky pro registraci regulované služby a tedy vztahují se na ně povinnosti nového Zákona. Může jim k tomu pomoci Vyhláška o regulovaných službách anebo náš webový rozcestník. Pokud společnost podmínky naplňuje, musí se ohlásit u Národního úřadu pro kybernetickou a informační bezpečnost prostřednictvím jejich platformy Portál NÚKIB. Následně musí stanovit systém řízení kybernetické bezpečnosti dle rozsahu povinností, které se liší podle toho, zda regulovaná služba spadá do vyššího nebo nižšího režimu povinností (přehled povinností se dozvíte v našem rozcestníku).

Oficiální kontroly bude provádět NÚKIB, nicméně kontrolu může provést i dozorový orgán dle odvětví, například pro letectví Úřad pro civilní letectví (ÚCL) nebo Česká národní banka (ČNB) pro finanční instituce.

Záleží na tom, do jakého režimu povinností spadá vámi poskytovaná regulovaná služba.

Pro nižší režim je potřeba zajistit osobu, která bude zodpovědná za řízení kybernetické bezpečnosti.

Pro vyšší režim je třeba určit manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti a auditora kybernetické bezpečnosti.

Jedná se o dvě rozdílné regulace vydané Evropským parlamentem a Radou Evropské unie, které byly publikovány v podobném období.

NIS2 je „směrnice“, takže každá členská země musí zavést povinnosti vyplývající z této směrnice do lokální legislativy. Zatímco DORA je „nařízení“, takže je již v tomto znění platné pro všechny členské země EU.

Regulace se od sebe liší rozsahem povinností a hlavně tím, koho se týkají. DORA je určena primárně pro finanční instituce, NIS2 se týká i organizací z dalších odvětví, včetně těch finančních.

Další rozdíl je v datech platnosti a účinnosti těchto regulací – DORA vešla v platnost v lednu 2023 a organizace mají 2 roky na zavedení jejích povinností, tj. do ledna 2025. NIS2 vešla v platnost v prosinci 2022 a členské státy mají povinnost zavést její obsah do lokální legislativy do října 2024, v ČR formou nového Zákona o kybernetické bezpečnosti. Od data účinnosti nového Zákona začne organizacím běžet lhůta na ohlášení regulované služby u NÚKIBu, a poté lhůta 1 roku na zavedení povinností.

V České republice se také liší dozorový orgán pro jednotlivé regulace – u NIS2 to bude Národní úřad pro kybernetickou a informační bezpečnost, v případě DORA to bude Česká národní banka.

Seznam regulovaných služeb v odvětví energetiky a další podmínky pro zařazení do regulace jsou uvedeny v návrhu prováděcího předpisu k návrhu zákona o kybernetické bezpečnosti – vyhlášce o regulovaných službách. Vše je dostupné zde: https://www.psp.cz/sqw/text/tiskt.sqw?O=9&CT=759&CT1=0.

Vyhlášky k zákonu jsou v tuto chvíli publikovány ve formě tezí a jejich text se ještě může (a v některých případech s jistotou bude) měnit. Všechny prováděcí předpisy budou mít vlastní legislativní proces, v rámci kterého bude možné se s jejich textem seznámit a sledovat průběh jejich přijímání.

Směrnice NIS2 není adresována společnostem, ale státům, čemuž odpovídá i její textace. Z toho důvodu je potřeba její text převést do vnitrostátního práva a začlenit jej do zbytku právního řádu daného státu. Cílem NÚKIB je mít takový zákon, který bude co nejvíce uživatelsky přívětivý, jeho adresáti mu budou rozumět a bude co nejvíce navazovat na současnou regulaci kybernetické bezpečnosti. Takové přizpůsobení však vyžaduje mnoho času a práce.

Současně se NÚKIB rozhodl postupovat v procesu přípravy návrhu zákona velmi transparentně a umožnit široké odborné veřejnosti i nad rámec standardního legislativního postupu návrh připomínkovat a navrhovat zlepšení. Tyto připomínky a návrhy pak musel vypořádat.

Pro většinu regulovaných služeb platí, že společnost spadá do regulace v případě, že tyto služby poskytuje právně odlišnému subjektu. Není rozhodné, zda je tento právně odlišný subjekt součástí jednoho holdingu či nikoli.

Co se týče regulace chemického průmyslu, doporučujeme seznámit se s návrhem vyhlášky o regulovaných službách, kde je uvedeno, které služby jsou regulovány. Regulace chemického průmyslu je navázána na nařízení REACH a používá jeho pojmy a adresáty – podle toho, zda společnost vykonává činnosti regulované nařízením REACH, pak velmi snadno dovodí, zda bude spadat i do regulace nového zákona o kybernetické bezpečnosti.

Text návrhu vyhlášky o regulovaných službách je dostupný zde: https://www.psp.cz/sqw/text/tiskt.sqw?O=9&CT=759&CT1=0.

Vyhlášky k zákonu jsou v tuto chvíli publikovány ve formě tezí a jejich text se ještě může změnit (zejm. v chemickém průmyslu lze očekávat úpravu kritérií). Všechny prováděcí předpisy budou mít vlastní legislativní proces, v rámci kterého bude možné se s jejich textem seznámit a sledovat průběh jejich přijímání.

Do regulace budou spadat ty společnosti, které poskytují regulovanou službu či služby a splní další podmínky uvedené v návrhu vyhlášky o regulovaných službách. U každé jednotlivé společnosti (lhostejno, zda je součástí větší skupiny) je potřeba posoudit, zda splňuje podmínky pro zařazení do regulace. U Českých drah lze s ohledem na jejich činnost a velikost očekávat, že budou poskytovatelem regulované služby či služeb v odvětví Drážní dopravy. 

Rozdílovou analýzu aktuálně NÚKIB připravuje a plánuje ji zveřejnit před nabytím účinnosti nového zákona. Zjednodušeně lze říci, že pokud společnost řádně plní všechny povinnosti ze ZKB a tento přístup aplikuje na podstatnou část celé organizace, bude pro ni přechod na novou úpravu znamenat jen dílčí a nijak dramatickou úpravu vnitřních procesů.

Ano, registrační povinnost se vztahuje i na dosud regulované subjekty. Důvodem je zejména skutečnost, že nově může být vaše společnost regulována pro více služeb (nejen ty, pro které byla určena provozovatelem základní služby).

Do regulace budou spadat ty společnosti, které poskytují regulovanou službu či služby, a splní další podmínky uvedené v návrhu vyhlášky o regulovaných službách. U každé jednotlivé právně samostatné organizace je potřeba posoudit, zda splňuje podmínky pro zařazení do regulace. Právní forma organizace není podstatná. Pouhé vlastnictví HR systému není důvodem pro zařazení do regulace, stěžejní je, zda organizace poskytuje některou z regulovaných služeb.

Aktuální návrh s tím nepočítá. Prováděcí předpisy k zákonu však budou mít vlastní legislativní proces, ve kterém mohou doznat větších či menších změn.

Pro nižší režim platí, že konkrétní kritéria (metriky) pro určení významnosti incidentu si stanoví sama povinná osoba na základě vodítek obsažených v prováděcím předpisu k zákonu.

Jde o situaci, kdy dojde k narušení bezpečnosti informací (tedy jejich důvěrnosti, dostupnosti nebo integrity) zpracovávaných v informačních systémech organizace. Typicky půjde o případy neoprávněného přístupu do systému (neautorizovanou osobou), úniku dat (jejich krádeže, ale i neoprávněného zveřejnění), znepřístupnění dat (v důsledku zašifrování ransomwarem), přerušení poskytování regulované služby v důsledku neplánovaného výpadku informačního systému apod.

Teze prováděcích předpisů k novému zákonu, včetně vyhlášek o bezpečnostních opatřeních, jsou k dispozici zde: https://www.psp.cz/sqw/text/tiskt.sqw?O=9&CT=759&CT1=0. Vyhlášky k zákonu jsou v tuto chvíli publikovány ve formě tezí a jejich text se ještě může změnit.

Všechny prováděcí předpisy budou mít vlastní legislativní proces, v rámci kterého bude možné se s jejich textem seznámit a sledovat průběh jejich přijímání.

Zahájení legislativního procesu očekáváme přibližně po ukončení druhého čtení návrhu zákona o kybernetické bezpečnosti v Poslanecké sněmovně. Účinnost zákona i jeho prováděcích předpisů pak předpokládáme od 1. 7. 2025.

Vztah dodavatele a odběratele je pro účely zařazení do působnosti nového zákona o kybernetické bezpečnosti irelevantní. Regulována je vždy konkrétní společnost pro charakter služeb, které poskytuje (lhostejno komu je poskytuje). BDŘ se pak vztahuje na úzce vymezenou množinu subjektů, do které se většina regulovaných osob vůbec nedostane.

Pokud je společnost dodavatelem společnosti, která spadá do BDŘ, samo o sobě to pro nic neznamená. Lze však očekávat, že v rámci řízení dodavatelských vztahů ze strany odběratele služby (což je jedna ze zákonných povinností poskytovatelů regulovaných služeb) budou na dodavatele kladeny zvýšené nároky. Tyto nároky však budou na dodavatele kladeny v rámci smluvních ujednání, nikoli přímo ze zákona.

Aktuální návrh vyhlášky o regulovaných službách počítá s tím, že obce s rozšířenou působností (ORP) spadají do nižšího režimu pro výkon svěřených pravomocí. Pokud ORP poskytuje i jiné regulované služby, může být regulována i pro ně, a to klidně i ve vyšším režimu (podle konkrétních podmínek uvedených ve vyhlášce o regulovaných službách).

Většina kritérií je však vázána na velikost podniku, přičemž územní samosprávné celky se pro účely zákona za podnik nepovažují.

Vždy je potřeba projít smluvní podmínky, za kterých velký dodavatel své služby poskytuje, provést hodnocení rizik, které jsou s jeho službami spojeny, a ve světle bezpečnostní strategie konkrétní společnosti stanovit, zda je možné některá identifikovaná rizika zmírnit jinými prostředky (např. dodatečnými opatřeními na straně odběratele), případně je akceptovat, pokud jiné řešení není přiměřené.

Pokud jsou podmínky poskytování služby konkrétního dodavatele v rozporu s bezpečnostními požadavky odběratele, je namístě zvážit využití jiného dodavatele. 

Pokud dotaz míří na odbornou způsobilost, která je předpokladem pro výkon bezpečnostních rolí nebo účast ve výboru pro řízení kybernetické bezpečnosti, pak je potřeba jednak vycházet ze specifických požadavků uvedených v prováděcích předpisech (zejm. u bezpečnostních rolí), jednak z charakteru činnosti těchto osob. Role musí být vykonávána osobou, která je schopna plnit vše, co na ni zákon klade.

Konkrétní požadavky na odbornou způsobilost budou vycházet ze specifik jednotlivých organizací, jejich prostředí, úkolů, které jsou osobám svěřeny, očekáváné kvality výstupů apod.

Technická aktiva jsou stejně jako v současném zákoně součástí množiny podpůrných aktiv. Zákon, resp. vyhlášky, explicitně stanoví, na kterých místech je potřeba odlišovat technická aktiva od zbytku podpůrných aktiv.

Obecně je poskytovatelem regulované služby ten, kdo službu poskytuje odběratelům. Tzn. pokud je vaše společnost tím, kdo poskytuje regulovanou službu zákazníkům, a tuto službu poskytujete pomocí informačního systému, který vám provozuje někdo jiný, je to stále vaše společnost, kdo je poskytovatelem regulované služby. Může se také stát, že váš provozovatel bude sám povinnou osobou – poskytovatelem regulované služby „řízená služba/řízená bezpečnostní služba“.

S ohledem na aktuální fázi legislativního procesu a skutečnost, že většina podstatných úprav byla provedena právě již v dřívějších verzích, lze očekávat, že znění zákona dozná v Poslanecké sněmovně pouze minimálních změn. Podstatná část textu zákona navíc reflektuje požadavky směrnice NIS2, od kterých se Česká republika nemůže odchýlit a které navazují na dobrou praxi a běžně užívané bezpečnostní standardy. Doporučujeme se tedy s jeho textem seznámit již nyní a začít se na jeho účinnost připravovat.

Akt o kybernetické odolnosti se obecně vztahuje na HW i SW (s některými výjimkami).

Ano, registrační povinnost se vztahuje i na dosud regulované subjekty. Důvodem je zejm. skutečnost, že nově může být vaše společnost regulována pro více služeb (nejen ty, pro které byla určena povinnou osobou podle současného zákona).