Po Evropském parlamentu schválila minulý týden novou „kybernetickou“ směrnici NIS 2 i Rada EU. Během přibližně jednadvaceti měsíců by se nová pravidla směrnice měla transponovat do národního práva, v případě Česka skrze novelu příslušného zákona. Nová pravidla se dotknou tisíců tuzemských firem, které dosud kyberbezpečnost z pohledu legislativy řešit nemusely a kterým vznikne řada nových povinností.
O konkrétních dopadech nové směrnice na české firmy v závěru minulého týdne pořádala pracovní snídani advokátní kancelář Rowan Legal. Seminář pro klienty vedl partner kanceláře Jan Tomíšek ve spolupráci se seniorním advokátem Samuelem Králem.
Schválení evropské směrnice NIS2, neboli „směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické ochrany v Unii“, znamená jednak zvýšení „kybernetické odolnosti“ jednotlivých států EU, ale zároveň i odstranění nesrovnalostí na vnitřním trhu či zvýšení kolektivního povědomí o tématu.
„Není pochyb o tom, že kybernetická bezpečnost zůstane i v nadcházejících letech jednou z klíčových výzev. Pro naše ekonomiky a občany je v sázce nesmírně mnoho. Dnes jsme učinili další krok ke zlepšení naší schopnosti čelit této hrozbě,“ glosuje přijetí směrnice Ivan Bartoš, ministr pro místní rozvoj a digitalizaci.
Tím nejviditelnějším dopadem aktualizované směrnice je fakt, že zvyšuje počet povinných subjektů – tedy společností, na které se nová „pravidla hry“ budou po implementaci směrnice do českého práva vztahovat. Jde o poměrně výrazný nárůst, a to ze současných přibližně pěti set na více než šest tisíc, jak odhaduje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). „A to se podle našeho pohledu stále jedná o poměrně konzervativní odhad,“ glosuje partner společnosti Rowan Legal Jan Tomíšek.
Společnosti, na které bude novela vycházející z této směrnice dopadat, budou určeny dvěma základními způsoby. Jednak podle odvětví, ve kterém působí, a následně i své velikosti, jednak podle taxativního vyjmenování. Podle advokáta Jana Tomíška se nově bude implementovaná směrnice týkat zejména výrobních podniků.
Mezi novinky, které směrnice NIS2 přináší, je například odpovědnost řídících orgánů – tedy managementu společnosti za vhodné nastavení kybernetických opatření v dané firmě. „Zatím není zcela zřejmé, jakou formu odpovědnosti tyto orgány budou mít. Ovšem odpovědnost se bude týkat správně nastavených procesů, nikoliv výsledku samotného. Tedy ředitel podniku nemusí být odpovědný za to, že jeho společnost někdo elektronicky napadl, je však odpovědný za to, že ne/učinil patřičná opatření, aby tomu zabránil,“ doplňuje Tomíšek.
Pochopitelně, středobodem nové směrnice je zavádění preventivních opatření k posílení kybernetické bezpečnosti. Součástí těchto opatření je například analýza rizik, bezpečnost v rámci dodavatelského řetězce či vzdělávání v oblasti kybernetické bezpečnosti. „Cílem revidované směrnice je harmonizovat požadavky na kybernetickou bezpečnost a provádění opatření v oblasti kybernetické bezpečnosti v různých členských státech,“ vysvětluje Evropský parlament.
Novou povinností povinných subjektů je i výrazné zpřísnění časového rámce pro ohlašování incidentů. Ten je výrazně striktnější, včasné varování o podezřelém kybernetickém incidentu nově musí NÚKIB obdržet do 24 hodin od doby, kdy se firma o problému sama dozví. Dále je třeba během 72 hodin poslat zprávu s aktualizací incidentu, případně další průběžnou zprávu a do měsíce musí odevzdat závěrečnou zprávu, která hodnotí podrobný popis incidentu.
„A byť se měsíc zdá jako poměrně hodně času, z našich zkušeností je tomu právě naopak,“ dodává Tomíšek s tím, že finální zpráva by měla být podložena konkrétními závěry vyšetření daného incidentu. To je činnost, jež nemusí být v kapacitách samotné firmy – a podle advokáta tak dává smysl mít rámcově zasmluvněného externího partnera, který v případě potřeby s těmito záležitostmi firmě pomůže.