Netrpělivě očekávaná verze nového Zákona o kybernetické bezpečnosti (ZKB) mimo jiné obsahuje požadavky nové evropské legislativy NIS2.
Koho se směrnice NIS2 a ZKB týká?
Požadavky nové evropské směrnice NIS2 budou mít rozsáhlé důsledky pro různé subjekty a instituce. Směrnice se týká nejen institucí a podniků, které podnikají v Unii, ale také jejich dodavatelů. Ve srovnání se směrnicí NIS má NIS2 mnohem větší rozsah působnosti a její požadavky jsou lépe vymahatelné.
Povinnosti dopadají také na mnohem více odvětí, kromě odvětví kritické infrastruktury, jako je energetika, doprava nebo zdravotnictví, byla přidaná odvětví jako potravinářství, chemický průmysl, odpadové hospodářství, poštovní a kurýrní služby, výroba zdravotnických prostředků apod. Úplný výčet regulovaných služeb je uveden v příloze vyhlášky o regulovaných službách.
Zákon o kybernetické bezpečnosti (ZKB) rozděluje poskytovatele regulované služby, kteří naplní daná kritéria, do dvou kategorií - režimu nižších nebo vyšších povinností.
Kdy budou společnosti muset začít plnit požadavky NIS2?
Členské státy EU musí požadavky NIS2 přenést do svých vnitrostátních právních předpisů do 17.října 2024. V ČR budou požadavky NIS2 zapracované v nové verzi Zákona o kybernetické bezpečnosti.
Účinnost nového zákona se předpokládá k datu 18.října 2024. Od té doby začne organizacím, které splňují kritéria poskytovatele regulované služby, běžet lhůta, kdy se musí registrovat u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Nejpozději by tak měly učinit do 16. ledna 2025. NÚKIB poté pošle společnosti vyrozumění o zápisu regulované služby. Následně začne běžet lhůta 1 roku, během které musí společnost zavést odpovídající bezpečnostní opatření.
Co znamená NIS2 pro vedení společnosti?
NIS2 přináší téma kybernetické bezpečnosti také do zasedacích místností společností a přináší potřebu odpovídajícího vzdělávání jejich vedení. Znamená to, že řídicí orgány musí být schopny identifikovat a vyhodnocovat opatření pro řízení rizik kybernetické bezpečnosti. Musí být schopny schvalovat opatření ve vztahu k zásadám řízení rizik, které jsou ve společnosti platné, a dohlížet na provádění těchto opatření.
Členové správních orgánů musí být také pravidelně vzděláváni a školeni, aby mohli plnění všech těchto povinností řádně řídit.
Jaké povinnosti obsahuje nový Zákon o kybernetické bezpečnosti?
- Kam a jak se mají organizace k povinnostem zaregistrovat?
- Jak bude probíhat hlášení incidentů?
- Co přináší mechanismus prověřování dodavatelského řetězce a koho se bude týkat?
- Kdo bude provádět kontroly dodržování povinností nového zákona?
- Jaká bude výše sankcí za nedodržování povinností?
- Jak se nový zákon o kybernetické bezpečnosti dotýká obcí a vysokých škol?
Na tyto a další otázky odpovídala v podcastu TruePositive Vladěna Sasková z NÚKIB:
