NIS2 v české praxi: Koho se týká nový zákon o kybernetické bezpečnosti

🎧 Nechce se vám článek číst? Poslechněte si jeho shrnutí:

Proč zákon o kybernetické bezpečnosti vzniknul? 

Digitální prostředí se rychle vyvíjí a kybernetické hrozby jsou častější, sofistikovanější a mají závažnější dopady. Evropská unie na tuto situaci zareagovala směrnicí NIS2, která má zajistit jednotná pravidla pro zvýšení kybernetické bezpečnosti v EU. Česká republika tuto směrnici převádí do praxe prostřednictvím nZKB a rozšiřuje tak okruh organizací, které budou muset svou kybernetickou bezpečnost aktivně řešit. 

Koho se nový ZKB týká? 

Nový zákon se dotýká až 10 tisíců organizací napříč 22 odvětvími. Mezi ně patří například: 

• Nemocnice a zdravotnická zařízení 

• Dodavatelé energií a správci kritické infrastruktury 

• Dopravní podniky a logistika 

• Finanční sektor, banky a fintech, pojišťovny 

• Digitální poskytovatelé služeb, hosting a cloudové služby, e-shopy 

• Vysoké školy a veřejnoprávní instituce 

• Krajské organizace a technologické startupy 

• Výroba (strojírenství, elektrotechnika, chemie, farmacie), vodohospodářství a odpadové hospodářství 

⚠️ Pozor! Subjekty nebudou o spadání pod nZKB nijak informovány – do režimu povinností spadnou automaticky na základě zákonných kritérií, bez předchozí výzvy ze strany státu.  

Spadáte pod zákon? 3 kritéria, jak to zjistíte  

To, zda spadnete pod regulaci, závisí na několika kritériích: 

• Působíte v některém z regulovaných sektorů podle NIS2 (např. energetika, zdravotnictví, doprava, digitální služby, vzdělávání, finance, IT, výroba, logistika, vodohospodářství, odpadové hospodářství)? 

• Máte 50 a více zaměstnanců, nebo obrat nad 10 milionů eur (či bilanční sumu nad 10 milionů eur)? 

• Zajišťujete důležité služby nebo infrastrukturu (například zdravotnické služby, dodávky energie, vodohospodářství, doprava, digitální služby apod.)? 

Pokud odpovíte „ano“ alespoň na jednu z těchto otázek, je velmi pravděpodobné, že se vás nZKB týká.  

💡  Pamatujte, že při určování velikosti podniku se navíc započítávají i propojené a partnerské podniky (např. v rámci holdingů), což může ovlivnit vaše zařazení. V rámci seznamu služeb je také několik výjimek, kdy velikost podniku nehraje roli. 

Dva režimy povinností: nižší a vyšší 

Nový zákon rozlišuje dva hlavní režimy povinností: nižší režim a vyšší režim, které určují rozsah, složitost a náročnost kroků, které budete muset splnit. 

1. Nižší režim:

• Týká se organizací, které nejsou z hlediska rozsahu služeb, počtu zaměstnanců nebo dopadu na fungování odvětví či společnosti tak významné. 

• Požadavky na bezpečnost jsou méně přísné. 

• Stačí určit osobu pověřenou řízením kybernetické bezpečnosti. 

• Incidenty je potřeba hlásit národnímu CERT týmu, nikoli přímo NÚKIBu. 

• Organizační a technické požadavky jsou nastaveny na základě minimálních standardů, jako je systém zajišťování minimální kybernetické bezpečnosti a řízení rizik a aktiv. 

Modelový příklad: Výrobní firma se 120 zaměstnanci v sektoru průmyslu, nebo vysoká škola s více než 50 zaměstnanci, pokud neposkytuje základní službu. 

2. Vyšší režim: 

• Týká se subjektů, které jsou významné z hlediska rozsahu služeb, počtu zaměstnanců, geografického pokrytí, dopadu na fungování odvětví nebo společnosti, nebo jsou vysoce rizikové. 

• Požadavky jsou výrazně přísnější. 

• Je třeba určit manažera kybernetické bezpečnosti a další role jako architekt a auditor  kybernetické bezpečnosti. 

• Incidenty se hlásí přímo NÚKIBu. 

• Pokud je některá služba organizace zařazena do vyššího režimu, automaticky do něj spadají i všechny ostatní služby daného subjektu. 

• Organizační a technické požadavky jsou rozsáhlejší a náročnější, například komplexnější řízení přístupových práv, detekce a vyhodnocování bezpečnostních událostí, aplikační a kryptografická bezpečnost. 

Modelový příklad: Krajská nemocnice nebo IT firma provozující hosting klíčových e-služeb státu. 

Určení režimu je určeno na základě jasně definovaných kritérií v prováděcí vyhlášce a může být upřesněno rozhodnutím NÚKIB. 

Jak být v souladu s novým zákonem o kybernetické bezpečnosti 

Bez ohledu na režim musí organizace splnit řadu povinností: 

• Oznámení regulované služby prostřednictvím elektronického formuláře na Portálu NÚKIB. 

• Oznámení kontaktních údajů pověřené osoby/manažera KB prostřednictvím Portálu nejpozději do 30 dnů od doručení rozhodnutí o registraci. 

• Určení rozsahu řízení kybernetické bezpečnosti. 

• Zavedení bezpečnostních opatření podle příslušného předpisu. 

• Hlášení incidentů kybernetické bezpečnosti. 

• Plnění jakýchkoli protiopatření vydaných NÚKIBem. 

Pro hlášení incidentů a zavedení bezpečnostních opatření je stanoveno přechodné období 1 rok od doručení rozhodnutí o registraci regulované služby. 

Co je potřeba řešit už teď? 

Účinnost nového zákona se očekává ve druhé polovině roku 2025 nebo na začátku roku 2026. Jelikož povinnosti vzniknou přímo ze zákona, bez předchozí výzvy ze strany úřadu, je nezbytné začít s přípravou co nejdříve. 

Nepodceňujte přípravu, protože přechod na nový režim není záležitostí jednoho odpoledne. Odložení přípravy může vést k časovému tlaku, chybám, zbytečným nákladům nebo dokonce vysokým sankcím – až do výše 250 milionů Kč nebo 2 % z celosvětového obratu. Kapacity kybernetických expertů budou po nabytí účinnosti zákona pravděpodobně rychle vyčerpány. 

5 kroků, kterými začít 

1. Proveďte interní audit současného stavu – zjistěte, zda máte přehled o svých informačních aktivech, jak fungují základní bezpečnostní opatření a zda jste připraveni hlásit incidenty. 

2. Zjistěte, zda spadáte pod regulaci – zkontrolujte sektor, ve kterém působíte, spočítejte zaměstnance a ověřte finanční ukazatele (včetně propojených a partnerských podniků). 

3. Vytvořte roli odpovědné osoby pro kybernetickou bezpečnost (dle určeného režimu) – zajistěte její kompetence a školení, nebo zvažte outsourcing této role. 

4. Sestavte plán implementace bezpečnostních opatření – po vstupu do regulace budete mít na jejich zavedení pouze 1 rok. Plán by měl zahrnovat technická i organizační opatření. 

5. Sledujte legislativní vývoj a připravovaných prováděcích vyhlášek NÚKIBu, které obsahují detailní požadavky. 

Závěr: Kyberbezpečnost jako základní prvek podnikání 

Zákon o kybernetické bezpečnosti představuje zásadní krok v posílení digitální bezpečnosti Česka. Už dávno nejde jen o IT oddělení nebo instalaci antiviru. Odpovědnost za kybernetickou bezpečnost má vedení organizace a čím dříve začnete, tím lépe. 

Včasná a strategická příprava je klíčem k bezproblémovému přechodu na nový režim. Náklady na prevenci jsou vždy nižší než dopady bezpečnostního incidentu nebo sankce za neplnění povinností. Zapojení vedení, provedení interní analýzy a mezioborová spolupráce jsou nezbytné pro úspěšnou implementaci. 

Jak vám BESECURED pomůže být v souladu sNZKB? 

Pomůžeme vám připravit se na nový zákon o kybernetické bezpečnosti srozumitelně, efektivně a na míru vašemu oboru. 

• Zjistíme, jestli se vás zákon týká a v jakém režimu. 

• Provedeme posouzení podle NIS2 a určíme, do jakého režimu spadáte. Vysvětlíme, co z toho vyplývá. 

• Zmapujeme aktuální stav a navrhneme opatření. 

• Identifikujeme slabá místa a připravíme konkrétní doporučení, která vám pomohou splnit požadavky zákona. 

• Zavedeme bezpečnostní opatření a procesy. 

• Pomůžeme nastavit technická i organizační opatření, včetně řízení rizik, incidentů a odpovědností. 

• Zajistíme školení a odpovědnou osobu. 

• Vzděláme váš tým a v případě potřeby vám zajistíme outsourcing kyberbezpečnostní role. 

V BESECURED rozumíme jak businessu i technologiím a víme, jak vše sladit, abyste měli jistotu a klid. 

Stáhněte si e-book, kde zjistíte vše potřebné o zákoně o kybernetické bezpečnosti, nebo si s námi domluvte bezplatnou konzultaci.