Prvního listopadu letošního roku vstoupí v účinnost nový zákon o kybernetické bezpečnosti. Do českého právního řádu zavádí mimo jiné změny dané evropskou směrnicí NIS2. Podle Národního úřadu pro kybernetickou bezpečnost (NÚKIB) je hlavním cílem nastavit alespoň základní míru zabezpečení v organizacích, které poskytují služby v ekonomicky, bezpečnostně či společensky významných odvětvích. Nová norma se má dotknout tisíců firem, úřadů a organizací.
V loňském roce evidoval NÚKIB dosud nejvíce kybernetických bezpečnostních incidentů. Jejich závažnost se ovšem v posledních třech letech snižuje. V letošním roce zatím úřad evidoval nejvíce incidentů v září, kdy jich bylo čtyřiadvacet.
Ředitel NÚKIB Lukáš Kintr očekává, že celkový počet incidentů za letošek bude vyšší než vloni. „Ale je to jen predikce v září, uvidíme, jaké budou ty další měsíce,“ sdělil ve druhé polovině září s tím, že podzim vždy přináší větší počet incidentů a pokusů o kybernetické útoky.
Kyberbezpečnost řeší i české firmy. Ty dle zprávy Global Threat Intelligence Report bezpečnostní společnosti Check Point v srpnu průměrně čelily 2180 incidentům týdně, což bylo meziročně o patnáct procent více. Celosvětový průměr je přitom 1994 útoků týdně na jednu firmu. Česko tak podle zprávy patří mezi nejméně bezpečné evropské země.
Nejen firem se dotkne nový zákon o kybernetické bezpečnosti. Zatímco směrnice NIS stanovila kybernetická bezpečnostní pravidla jen pro některá klíčová odvětví, NIS2 regulaci rozšiřuje i na další sektory. Z toho vyplývá, že nový zákon bude dopadat na výrazně vyšší počet organizací. Zatímco dosavadní norma regulovala jen asi čtyři stovky subjektů, nový zákon se dotkne tisíců společností.
Koho se zákon dotkne?
NÚKIB na svém portálu uvádí, že zákon se vztahuje na poskytovatele regulovaných služeb, kteří působí v regulovaných odvětvích. Jde o klíčová odvětví, jako je třeba energetika, zdravotnictví nebo doprava. Seznam všech regulovaných odvětví lze nalézt ve vyhlášce o regulovaných službách, která taktéž vstoupí v účinnost prvního listopadu.
To, že společnost působí v regulovaném odvětví, ovšem nutně nemusí znamenat, že se na ni bude vztahovat nový zákon. NÚKIB totiž zmiňuje i další podmínku. Tou je, že organizace musí poskytovat regulovanou službu, což je taková, která je uvedena v příloze vyhlášky o regulovaných službách. Nestačí tedy jen působit v daném odvětví. Rozhodující je konkrétní služba, kterou organizace poskytuje.
Jako ilustrační příklad může posloužit třeba silniční doprava, která patří k regulovaným odvětvím. Příloha vyhlášky v tomto případě stanovuje pouze dvě konkrétní služby, na něž se bude nový zákon vztahovat. Tou první je řízení provozu na pozemních komunikacích podle zákona o silničním provozu. Druhou je pak provoz inteligentního dopravního systému podle zákona o pozemních komunikacích. V případě, že organizace poskytuje v odvětví silniční dopravy jinou službu, zákon se na ni v tomto ohledu nevztahuje.
Existuje navíc ještě další podmínka, která se týká významu poskytovatele regulované služby. Sem se řadí zejména velikost podniku, ale případně i další kritéria, která u jednotlivých služeb stanovuje příloha vyhlášky. NÚKIB navíc upozorňuje, že posouzení naplnění těchto kritérií musí každá organizace provést samostatně. Pomoci s tímto posouzením může kalkulačka dostupná na Portálu NÚKIB. Ta po zadání určitých kritérií, jako je například počet zaměstnanců či roční obrat, pomůže určit třeba velikost podniku.
Nový zákon dopadne i na obce s rozšířenou působností. Ty budou muset ohlásit regulovanou službu, zavést bezpečnostní opatření, hlásit incidenty a provádět protiopatření.
Zákon se naopak standardně nebude vztahovat na fyzické osoby a podniky či organizace, které nesplňují podmínky významnosti, neposkytují regulované služby či nepůsobí v regulovaných odvětvích.
Pravidla upřesňují režimy povinností
Směrnice NIS2 kromě rozšíření regulace na větší množství sektorů zároveň rozděluje služby na základní a významné. Toto rozdělení se v českém řádu projeví tím způsobem, že budou rozlišovány dva režimy povinností.
Vyšší režim povinností bude platit pro velké podniky či organizace s klíčovým dopadem na společnost. Nižší režim oproti tomu dopadne na střední podniky, které sice poskytují důležité služby, avšak nemají zásadní strategický význam.
Jako ilustrační příklad lze opět využít odvětví silniční dopravy. Jak již bylo uvedeno výše, jednou z regulovaných služeb v tomto odvětví je řízení provozu na pozemních komunikacích podle zákona o silničním provozu. Příloha vyhlášky stanovuje, že osoba vykonávající tuto službu je poskytovatelem regulované služby vyšších povinností v případě, že je velkým podnikem, a poskytovatelem v režimu nižších povinností v případě, kdy je středním podnikem. Důležité je ovšem dodat, že ne vždy je rozdělení takto jednoduché a u některých odvětí a služeb mohou být stanoveny i jiné podmínky, než je jen velikost podniku.
Zákon navíc stanoví také strategicky významné služby, což jsou takové, jejichž narušení by mohlo mít závažný dopad na bezpečnost Česka nebo vnitřní pořádek. Ty, kterých se to týká, stanovuje nařízením vláda.
Organizace čeká řada povinností
Pro firmy, na které se nevztahovala dosavadní norma, bude platit celá řada povinností. Jak již bylo uvedeno, organizace musí nejprve zjistit, zda se na ně nová norma vztahuje. Pokud ano, jsou povinny zaregistrovat se prostřednictvím Portálu NÚKIB, na což mají šedesát dnů od účinnosti zákona.
Se zákonem je spojena i řada bezpečnostních opatření, která se liší v závislosti na tom, zda se jedná o firmu či organizaci, pro niž platí vyšší režim povinností, nebo na niž se vztahuje režim nižší. Existují dvě různé vyhlášky, které stanovují požadovaná bezpečnostní opatření, přičemž jedna se týká právě režimu vyšších povinností a druhá režimu nižších. Po doručení rozhodnutí o registraci bude mít poskytovatel regulované služby na zavedení bezpečnostních opatření roční lhůtu.
Poskytovatelé regulovaných služeb budou povinni například hlásit kybernetické bezpečnostní incidenty. Nový zákon rovněž klade mnohem větší důraz na zapojení vrcholného vedení do zvyšování úrovně kyberbezpečnosti v organizaci.
Za nesplnění povinností hrozí vysoké sankce
Za nesplnění jednotlivých povinností hrozí pokuty řádově od desítek tisíc korun až po maximální sankci pro poskytovatele v režimu vyšších povinností, která dosahuje až 250 milionů korun nebo výše až do dvou procent čistého celosvětového ročního obratu. Na základě kontroly může dojít také k uložení takzvaných nápravných opatření.
Možnými sankcemi pro poskytovatele v režimu vyšších povinností jsou také pozastavení platnosti certifikace či dočasný zákaz výkonu funkce člena statutárního orgánu fyzické osobě.
Skutečnost, že se nový zákon bude vztahovat na násobně více organizací, firem a úřadů, by ale podle NÚKIB neměl být hlavním důvodem, proč kybernetickou bezpečnost řešit. „Kybernetická bezpečnost je – nebo by alespoň měla být – v dnešní době již základní otázkou dobrého fungování každé organizace,“ zdůraznil úřad.
Jak na zabezpečení?
Prvním krokem při řešení bezpečnosti je podle NÚKIB zorientování se v organizaci a zodpovězení si otázek, jaké regulované služby společnost vykonává a co všechno je k jejich výkonu potřeba.
Následovat by podle úřadu mělo zjištění aktuálního stavu kybernetické bezpečnosti v rámci organizace. „Spousta organizací již má řadu bezpečnostních opatření zavedených, byť o tom nevede žádný záznam, případně o tom vůbec neví,“ podotkl NÚKIB.
Za stěžejní bezpečnostní opatření s minimálními náklady a maximálním užitkem pak úřad označuje školení zaměstnanců, přičemž přímo NÚKIB poskytuje na svém vzdělávacím portálu kurzy zdarma.
Dalším krokem je pak podle NÚKIB samotné zavádění bezpečnostních opatření. „Zákon a související vyhlášky, jak pro vyšší, tak pro nižší režim, nepředpokládají, že budou v zákonné lhůtě zavedena všechna bezpečnostní opatření,“ zdůraznil úřad s tím, že pokud z objektivních důvodů nebude možno opatření zavést v roce původně určeném pro jeho implementaci, není to při případné kontrole problém, bude-li vše racionálně a objektivně odůvodněno.
„Zejména v organizacích, které doteď kybernetickou bezpečnost vůbec neřešily, je vhodné začít tuto problematiku postupně řešit v následujících měsících. Zároveň je potřeba mít na paměti, že zavádění bezpečnostních opatření je kontinuální proces, který nikdy nekončí,“ upozornil NÚKIB.
Ten zároveň v uplynulých týdnech varoval před některými nabídkami na sociálních sítích. „Chtěl bych všechny, na které nový zákon bude dopadat, upozornit na to, že se objevují velmi lákavé nabídky, které slibují, že za vás vyřeší všechny problémy v kybernetické bezpečnosti. Nevyřeší,“ poznamenal Kintr. Doplnil, že na sociálních sítích NÚKIB eviduje zvýšenou aktivitu od subjektů, které se na trhu s kybernetickou bezpečností doposud vůbec neprofilovaly.
Inzeráty podle něj lákají na kompletní řešení kybernetické bezpečnosti a slibují, že to od subjektu nebude vyžadovat žádnou další aktivitu. „To jsou přesně ty aspekty, které by firmy měly motivovat k vyšší obezřetnosti. V reálném životě to prostě takto nefunguje a při zajišťování kybernetické bezpečnosti je potřeba nezastupitelná aktivita subjektu,“ dodal ředitel NÚKIB.
