- Kateřina Kubíková
- David Polách
Nový zákon o kybernetické bezpečnosti má být účinný začátkem příštího roku 2025, v českém právním řádu zakotvuje povinnosti a pravidla, která požaduje směrnice NIS2.
Aby si organizace mohla odpovědět na otázku, zda jí čekají nové povinnosti musí vědět, jestli je poskytovatelem regulované služby. Zákon určuje, že ve většině případů se musí organizace určit sama a poté se registrovat u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).
Kdo je poskytovatelem regulované služby?
Návrh zákona říká, že poskytovatelem regulované služby je orgán nebo osoba, které poskytují jednu nebo více regulovaných služeb. Tato poměrně obecná definice vyvolává mnohdy víc otázek než odpovědí. Obecně je tedy poskytovatelem regulované služby organizace, která splňuje určitá kritéria, nejčastěji kritérium velikosti podniku a vykonává činnost, která je označena jako regulovaná služba.
Kritérium velikosti organizace se řídí doporučením Evropské komise. Pro určení velikosti stačí když je naplněn buď počet zaměstnanců nebo finanční ukazatel. Do počtu zaměstnanců organizace se započítají nejen zaměstnanci posuzované organizace, ale do určité míry i zaměstnanci tzv. propojených nebo partnerských podniků. Například dceřinka, ve které má organizace 100% podíl, je propojeným podnikem a všichni zaměstnanci se přičítají k velikosti posuzované organizace. Velkým podnikem je pak organizace, pokud má alespoň 250 zaměstnancům, středním, když má 50 až 249 zaměstnanců, malým od 10 do 50 zaměstnanců a mikropodnikem pod 10. U finančního kritéria si pak sama organizace může určit, které je pro ni výhodnější, zda roční obrat nebo bilanční suma roční rozvahy.
Kritérium velikosti však není jediné. Poskytovatelem regulované služby se organizace může stát, i pokud poskytuje regulovanou službu, která stanoví jiné podmínky, než je právě uvedená velikost!
Co jsou regulované služby?
Návrh zákona o kybernetické bezpečnosti říká, že regulovanou službou je služba, jejíž narušení by mohlo mít významný dopad na zabezpečení důležitých společenských nebo ekonomických činností a k jejímuž poskytování jsou používána aktiva.
Vyhláška o regulovaných službách pak vyjmenovává 22 oblastí regulovaných služeb – od energetiky až po vesmírný průmysl. V každé oblasti pak uvádí konkrétní regulované služby, kterých je dohromady více než 100. Má se jednat o nejdůležitější služby, u kterých je nutná jejich zvýšená ochrana v oblasti kybernetické bezpečnosti. Jedná se pak třeba o službu výroby elektrické energie, provozu letiště, zajišťování veřejné komunikační sítě, poskytování služeb cloud computingu nebo poskytování zdravotní péče.
V případě naplnění kritérií bude organizace poskytovatelem regulované služby v režimu vyšších nebo nižších povinností. K sebeurčení Vám může pomoct naše webová aplikace urci.se, kde se můžete zdarma dozvědět, jestli na Vás pravděpodobně dopadne NIS2 prostřednictvím zákona o kybernetické bezpečnosti, a případně v jakém režimu.
Zákon však počítá i s několika výjimkami, kdy NÚKIB může určit svým rozhodnutím, že se jedná o poskytovatele regulované služby, aniž by byla naplněna výše uvedená kritéria. Například pokud organizace vykonává činnost, jejíž narušení může způsobit závažný zásah do života postihující více než 125 000 osob, a to zejména ohrožení života, zdraví, majetkové hodnoty, vnitřního či veřejného pořádku, bezpečnosti nebo životního prostředí
Spadáte pod novou legislativu?
Pravděpodobně budu poskytovatelem regulované služby, co dál?
Poskytovatel regulované služby musí sám nahlásit NÚKIB, že naplnil kritéria pro identifikaci regulované služby. Co teď?
1) Registrace
Nyní máte dle návrhu zákona 30 dní na to, abyste se registrovali přes Portál NÚKIB – tato lhůta běží od okamžiku, kdy zjistíte, že poskytujete regulovanou službu. Návrh zákona o kybernetické bezpečnosti počítá s účinnost na 18. 10. 2024, zda do té doby stihne projít Parlamentem je však nyní ještě nejisté.
Co když nezjistím, že poskytuji regulovanou službu? I s tím návrh zákona počítá a stanoví lhůtu 90 dní, která začíná od okamžiku, kdy k naplnění kritérií fakticky došlo. Lhůta pro registraci skončí tou, která vyprší dříve. Toto se uplatní zejména, když organizace začne poskytovat regulovanou službu v budoucnu, a nespojuje se tak pouze se začátkem účinnosti nového kybernetického zákona.
Například pokud začátkem měsíce začnete poskytovat regulovanou službu, ale ještě nevíte, že jste poskytovatelem regulované služby začíná běžet 90 dnů pro registraci. Pokud až 2 dny před koncem této lhůty fakticky zjistíte, že poskytujete regulovanou službu, 30 dní Vám již nedoběhne do konce, protože lhůta uplyne tou, která uplyne dříve a tedy 90. dnem. Stejně tak, pokud hned začátkem měsíce spolu s poskytováním regulované služby zároveň víte, že jste poskytovatelem, čas pro registraci doběhne 30. dnem.
Co když se neregistruji? Zákon toto považuje za přestupek, a poskytovatele regulované služby bude čekat sankce. Jedná se o chování, které ukazuje, že se organizace vyhýbá plnění povinností v oblasti kybernetické bezpečnosti, a tak můžou hrozit až ty nejvyšší možné pokuty. Výše pokut vychází přímo ze směrnice NIS2 a pro organizace podléhajícím vyššímu režimu jsou až 250 mil Kč nebo až 2 % čistého celosvětového ročního obratu (podle toho, která částka je vyšší), a pro organizace v nižším režimu až 175 mil Kč nebo 1,4 % čistého celosvětového ročního obratu (opět, podle toho, která částka je vyšší).
2) Zápis do evidence poskytovatelů regulovaných služeb
Po registraci regulované služby organizací provede NÚKIB automaticky zápis do evidence poskytovatelů regulovaných služeb a organizaci o tomto zápisu vyrozumí. Povinnosti plynoucí ze zákona vůči zapsaným službám musí pak organizace plnit od okamžiku doručení vyrozumění o zápisu regulované služby. Bezpečnostní opatření jako je např. zřízení bezpečnostních rolí ve vyšším režimu však nastane později (k tomu níže).
3) Nahlášení údajů
Do 30 dní od doručení písemného vyrozumění o zápisu o evidence musí organizace doplnit kontaktní a doplňující údaje, které návrh zákona požaduje.
4) Plnění bezpečnostní opatření a hlášení incidentů
Zavést a provádět bezpečnostní opatření pro každou regulovanou službu a povinnost hlásit kybernetické bezpečnostní incidenty musí začít organizace do 1 roku ode dne doručení písemného vyrozumění o zápisu služby do evidence.
Po účinnosti nového zákona o kybernetické bezpečnosti pak budou organizace muset připravit povinnou dokumentaci a jmenovat bezpečnostní role dle režimu povinností, do kterého spadnou.