PRÁVNÍ SERVIS | V oblasti kybernetické bezpečnosti se v současnosti nejvíce diskutuje nová směrnice NIS 2. Ta bude znamenat – po implementaci do českého právního řádu, což se očekává kolem poloviny roku 2024 – nové povinnosti pro více než šest tisíc českých firem. Alespoň to vyplývá z předběžných odhadů. Směrnice se stala tak horkým tématem, že i Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) pro ni vytvořil zvláštní web. Co je však na NIS 2 tak unikátního, že již dva roky před plnými dopady dostává větší PR než například nový stavební zákon?
Co přinese směrnice NIS 2
Česká republika má ve srovnání s ostatními členskými státy EU opravdu kvalitně zpracovaný zákon o kybernetické bezpečnosti (ZKB). I díky tomu pro organizace, které jsou již ZKB regulovány, se toho po implementaci směrnice NIS 2 v praxi příliš měnit nebude. Hlavní změnu, kterou směrnice přinese, je zejména rozšíření počtu regulovaných osob, a to jak rozšířením regulovaných odvětví, tak způsobem identifikace tzv. „povinných osob“. V praxi to znamená, že až 6 000 soukromých i státních organizací bude nově muset zavádět bezpečnostní opatření v oblasti kybernetické bezpečnosti.
Přístup NÚKIB a proč by se ostatní úřady měly učit
Hned na začátku chci uvést, že komunikaci, kterou NÚKIB okolo směrnice již nyní dělá, vnímám velmi pozitivně. Na zmíněném speciálním webu NÚKIB nejen srozumitelně seznamuje čtenáře se směrnicí, ale také obecně s problematikou kybernetické bezpečnosti, která pro mnoho v budoucnu regulovaných subjektů bude něčím zcela novým. Zástupci NÚKIB se také již nyní účastní kulatých stolů a veřejných diskusí na toto téma, kde odpovídají na otázky všech dotčených sektorů. Díky této aktivitě se tak v budoucnu regulované subjekty mohou připravit na to, co je čeká a mohou se také aktivně zapojit do samotného procesu implementace směrnice. Například zasíláním připomínek či zapojením se do veřejné diskuse.
NÚKIB také zveřejnil přehlednou tabulku, dle které mohou firmy posoudit, zda se jich regulace může týkat.
NIS 2 a strašák zvaný GDPR
NIS 2 se často přirovnává k nařízení o ochraně osobních údajů GDPR. Už v tomto ohledu však komunikace ze strany státu hraje významnou roli, kdy již nyní pomáhá firmám regulaci pochopit a připravit se na ni. Nenechme se však opít rohlíkem. Směrnice NIS 2 je stále regulace, která si na straně státu s velkou pravděpodobností vyžádá zřízení desítek nových služebních a pracovních míst u regulátora, na úřadech i v státních organizacích a firmách.
NÚKIB ve svém plánu rozvoje z loňského roku předpokládá, že do roku 2027 bude o sto lidí větší (i když pochopitelně ne všechno to bude v souvislosti se směrnicí NIS 2). A to úřad ve stejném dokumentu předpokládal, že nových povinných subjektů podle ZKB bude 300 a nikoli až šest tisíc.
V soukromém sektoru bude představovat implementace směrnice značnou administrativní zátěž. Osobně to považuji za největší oříšek celé problematiky kybernetické bezpečnosti, kdy se konstantně hledá a hledat bude balanc mezi zajištěním dostatečné míry kybernetické bezpečnosti ze strany státu a snahou o to, aby administrativní zátěž, která je s tím spojená, soukromý sektor tolik nezatížila. I proto je komunikace mezi státem a soukromým sektorem v otázce nastavení této rovnováhy nadmíru důležitá.
Směrnice NIS 2 a mechanismus pro hodnocení důvěryhodnosti dodavatelů
Společně se směrnicí NIS 2 se také hojně diskutuje připravovaný mechanismus pro posuzování a omezování rizik spojených s dodavateli, který by umožňoval státu hodnotit a v krajních případech i vyloučit dodavatele soukromých firem do strategické infrastruktury. NÚKIB by dle usnesení BRS měl do května roku 2023 vládě předložit návrh zákona.
NÚKIB opakovaně uvedl, že implementace mechanismu a směrnice NIS 2 jsou dvě oddělené záležitosti, které na sebe vzájemně nemají vliv. S ohledem na časový harmonogram lze však očekávat, že obě úpravy budou součástí jedné velké novely ZKB a souvisejících právních předpisů. I zde je dle mého názoru v zájmu soukromého sektoru zapojit se do diskusí s NÚKIB nad podobou této regulace, kdy opět bude důležité najít rovnováhu mezi zajištěním dostatečné míry bezpečnosti a nechtěnou byrokracií.
Poradenské firmy se zapotí
Stejně jako v případě GDPR, i u NIS 2 se poradenský sektor na novou regulaci těší. Jak to vím? Zcela upřímně, jsem jeden z nich. Zavedení kyberbezpečnostních opatření bude v mnoha případech vyžadovat externí poradenství a poptávka v tomto ohledu nebude malá. Zde jen mohu doporučit, abyste oslovovali osvědčené firmy. Zajištění kybernetické bezpečnosti je komplexním problémem, který vyžaduje porozumění celé problematiky nejen z právního, ale i technického a organizačního hlediska. I proto například naše advokátní kancelář v této oblasti spolupracuje s konzultační firmou KPMG a společně nabízí specializovanou službu Cybersecurity compliance.
TOMAN & PARTNEŘI
Autorem článku je Šimon Toman z advokátní kanceláře TOMAN & PARTNEŘI, která je partnerem rubriky Právní servis na INFO.CZ a garantem oblasti kybernetické bezpečnosti.