- Kateřina Hůtová
- Kateřina Kubíková
Článek byl uveřejněn na portále KomoraPlus. Níže si můžete přečíst jeho nezkrácenou verzi.
Směrnice NIS2 a její zavedení do české legislativy se rychle blíží. Předpokládá se, že nový zákon o kyberbezpečnosti bude platný již v polovině roku 2025. Oproti původnímu plánu jde sice o drobné zpoždění, ale nijak závratné. První a zásadní povinností podle nového zákona je se samoidentifikovat, neboli zjistit si, jestli bude vaše společnost regulovaným subjektem dle nového zákona o kybernetické bezpečnosti. Již v tomto bodě mnoho podnikatelů tápe, a proto se podíváme na nejčastější chyby a jak se jich ideálně vyvarovat.
Přestože Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) dělá v této oblasti osvětu na velmi vysoké úrovni, je stále mnoho společností, ke kterým se tato plánovaná novinka v jejich povinnostech nedostala. Není se čemu divit. Množství všech regulací pro společnosti je obrovské už nyní, ale jak tvrdí známý právní princip: neznalost zákona neomlouvá. Přestože je nikdo nemůže znát všechny, je důležité se o předpisy, které na nás dopadají, zajímat.
Chyba č. 1: Nevím, že mám nějakou sebeidentifikaci vůbec udělat
Směrnice NIS2 rozšířila počet regulovaných subjektů z cca 360 na odhadovaných 12–15 000 v Česku a 10 000 subjektů na Slovensku. Předpokládaný nárust je tedy dramatický a šance, že na vás nový zákon dopadne, je tak docela vysoká.
Proč je samoidentifikace vlastně tak klíčová povinnost? Pokud byste byli regulovaným subjektem a neohlásili se na NÚKIB, dopustíte se přestupku. A protože NÚKIB se na toto jednání dívá tak, že se chcete vyhnout svým povinnostem, může za něj uložit ty nejvyšší pokuty. Konkrétně se jedná o částku až 250 000 000 Kč nebo až 2 % čistého celosvětového ročního obratu společnosti, a to podle toho, která částka je vyšší.
Kromě obav z vysoké pokuty je však dobré řešit kybernetickou bezpečnost i pro ochranu vašeho byznysu, protože množství kybernetických útoků neustále roste. A přitom nejsou vždy cíleny. Někdy útočníci jednoduše zkouší, kdo se takzvaně chytí. Doplatit tak na to můžou i méně známé či menší společnosti.
Chyba č. 2: Nepochopení regulovaných služeb
Ve zkratce, návrh nové legislativy bude dopadat na ty společnosti, které poskytují službu z regulovaného odvětví a naplňují další kritéria (typicky mají určitou velikost). Regulované služby jsou ty, které jsou významné pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice a jsou z 15 různých odvětví.
Jedná se o tato odvětví:
Digitální infrastruktura a služby
Doprava
Energetika
Finanční trh
Chemický průmysl
Obranný průmysl
Odpadové hospodářství
Poštovní a kurýrní služby
Potravinářský průmysl
Věda, výzkum a vzdělávání
Vesmírný průmysl
Veřejná správa a výkon veřejné moci
Vodní hospodářství
Zdravotnictví
Výrobní průmysl
Zní to poměrně jednoduše a pokud tedy nedělám nic z těchto odvětví, nemusím novou kybernetickou legislativu vůbec řešit? První chyba nastává již zde. I když byste neprovozovali žádnou činnost z těchto odvětví, může se na vás vztahovat jedna z výjimek uvedených v zákoně. Výhodou je, že tyto výjimky nebudete muset sami ohlašovat na NÚKIB a v případě, že by na vás dopadla, Úřad by vás sám registroval a pokutu neuložil. I tak je dobré se na výjimky podívat, protože v případě, že by na vás opravdu dopadla, doporučujeme se na povinnosti začít včas připravovat.
Další a mnohem častější chybou, kterou společnosti dělají, je, že zaměňují svou hlavní činnost s odvětvími regulované služby. Nový zákon se však nezajímá jen o činnosti, které jsou vaším klíčovým byznysem, ale o vše, co děláte.
Můžeme si to uvést na příkladu, kdy společnost vyrábí třeba hračky pro domácí mazlíčky. Ověřila si, že výrobní průmysl se na tuto výrobu nevztahuje, a tak udělala závěr, že se na ni regulace nebude vztahovat. To by pak ale nebyl dobrý příklad, kdyby to byl konec příběhu. Tato společnost má totiž dceřinou společnost, která šije oblečky pro psy a této dceřince spravuje naše posuzovaná společnost celé jejich IT, přičemž jí tyto služby následně i fakturuje. Toto ji už klasifikuje do odvětví digitální infrastruktury a služeb, konkrétně by mohla poskytovat regulovanou služby poskytování řízené služby (MSP) či poskytování řízené bezpečnostní služby (MSSP). Tedy podle toho, co konkrétně dělá. Nezáleží na tom, že poskytování IT služeb není její hlavní aktivita.
Podobně na tom může být například i společnost, která má nainstalovanou fotovoltaiku, k níž jí byla udělená tzv. ERU licence. Je možné, že se kvůli fotovoltaice taková společnost stane poskytovatelem regulované služby výroba elektřiny v odvětví energetiky, aniž by to považovala vůbec za svou činnost.
Společnosti tak musí identifikovat všechny regulované služby, které poskytují, ať se jedná o jejich hlavní činnost, nebo nikoliv. Klíčové je naplnění podmínek regulované služby.
Je důležité nezapomenout, že mnoho společností se stane poskytovatelem více než jedné regulované služby.
Co s tím tedy dělat? Můžete si přečíst návrh vyhlášky o regulovaných službách, která konkrétní podmínky regulovaných služeb uvádí a zároveň se detailně zamyslet nad všemi vašimi aktivitami, přestože vám na první pohled vůbec nepřipadají důležité. A nezapomeňte, regulovaných služeb můžete poskytovat klidně více a musíte nahlásit všechny, které poskytujete!
Chyba č. 3: Špatné určení velikosti podniku
Kromě činnosti v regulovaných odvětví je dalším typickým kritériem velikost podniku. Pokud byste vykonávali činnost v rámci regulovaného odvětví, ale nenaplnili potřebnou podmínku požadované velikosti, nový kybernetický zákon na vás dopadat nebude. Například v rámci regulované služby výroby potravin se vyžaduje, aby potravinářský podnik byl velkým nebo středním podnikem. Pokud není, poskytovatelem regulované služby se nestane.
Ani v tomto případě však nezapomínejme na výjimky a další kritéria bez ohledu na velikost.
Například při poskytování zdravotní péče stačí bez ohledu na vaši velikost, když disponujete určitým počtem lůžek akutní péče (pro zajímavost je jich 270). U zmíněné regulované služby poskytování zdravotní péče se tak stanete povinným subjektem při naplnění velikostního kritéria nebo právě při zmíněném naplnění počtu lůžek akutní péče bez ohledu na velikost podniku.
Kalkulačka velikosti
Velikost subjektu se počítá podle doporučení Komise 2003/361/ES, které definuje mikropodniky, malé a střední podniky a ve výsledku i velké podniky. Posouzení podniku vychází buď ze zaměstnaneckého nebo finančního ukazatele.
Finanční ukazatel se zpravidla uplatní u těch společností, které na svou velikost mají větší roční obrat nebo bilanční sumu roční rozvahy, než je obvyklé. A jestli bude počítat roční obrat nebo bilanční sumu roční rozvahy je na vaší volbě (můžete si vybrat tu nižší hodnotu). Většina společností si určuje velikost dle počtu svých zaměstnanců, a proto i v tomto kroku nejčastěji chybují.
Ve zkratce, malé společnosti mají maximálně 49 zaměstnanců, střední 50 až 249 a velké 250 a více. V této části mnoho společností chybu neudělá a své vlastní zaměstnance si spočítá správně. Problém nastává v tom, že do počtu zaměstnanců se musí zohlednit i takzvané „relevantní vazby mezi majetkově spřízněnými organizacemi“. Co to znamená?
Dobrým příkladem mohou být třeba potravinářské společnosti. Pro regulovanou službu výroba potravin je třeba naplnit podmínku, že společnost je velkým nebo středním podnikem. Pokud by společnost měla 10 zaměstnanců (a finanční ukazatel by taky nenaplnila), kritérium regulované služby by nenaplnila a regulovaným subjektem se nestala. Zde však nastává největší množství chyb. Společnosti nezohlední že jsou v propojeném nebo partnerském vztahu s jinou společností. Například, že jsou dceřinkou velké společnosti anebo obecně, že jsou součástí holdingu. V těchto případech se totiž jedná o zmíněnou majetkovou spřízněnost a do celkového počtu zaměstnanců posuzované firmy se započítávají i zaměstnanci dceřiných, sesterských či mateřských společností. A to buď v plné míře nebo poměrně podle míry majetkové spřízněnosti. Potravinářský podnik o 10 zaměstnancích se tak díky své mateřské společnosti může stát i velkým podnikem, protože v souhrnu bude mít více než 250 zaměstnanců.
Do návrhu kybernetického zákona byla v květnu letošního roku vložena nová výjimka pro majetkově propojené společnosti. Ta říká, že za partnerský nebo propojený podnik se nepovažují osoby, jejichž technická aktiva jsou zcela oddělena od technických aktiv, jež používá posuzovaná osoba při poskytování regulované služby.
Dle důvodové zprávy by se mělo typicky jednat o situace investování do start-upů, kde kromě majetkového vstupu do společnosti nedochází k žádnému propojování informačních systémů nebo fungování obou osob. Jak to s touto výjimkou však dopadne a na koho bude aplikovatelná, si ale budeme muset počkat do konce legislativního procesu, až bude nový kybernetický zákon platný.
Kromě svých zaměstnanců nezapomeňte zohlednit i ty od mateřské, sesterské nebo dceřiné společnosti. A pokud si myslíte, že by se na vás mohla vztahovat nová výjimka z velikosti, tak si nezapomeňte ověřit její znění a výklad po konci legislativního procesu, protože ten se může ještě významně změnit.
Chyba č. 4: Zmatek v režimech regulovaných služeb
Když se sebeidentifikujete a jako regulovaný subjekt ohlásíte svou regulovanou službu na NÚKIB (nebo pokud jich poskytujete více, tak všechny), máte první krok za sebou. NÚKIB vás zaregistruje a dále vám začínají další povinnosti dle režimu, ve kterém regulovanou službu poskytujete. Pokud máte jen jednu regulovanou službu, budete se řídit bezpečnostními opatřeními a splňovat povinnostmi dle režimu, který tato regulovaná služba určuje. Může se jednat o vyšší režim (více povinností) nebo nižší režim.
Společnosti zde chybují v případě, kdy se chtějí připravit na novou legislativu a poskytují více regulovaných služeb, přičemž jedna regulovaná služba je určena v nižším a druhá regulovaná služba ve vyšším režimu. Společnosti se pak chtějí připravovat na oba režimy zároveň nebo si zvolí pro ně výhodnější – nižší režim.
Protože společnosti mohou mít pouze jeden režim, uplatňuje se zde pravidlo vyšší bere. Pokud máte i jen jednu z mnoha regulovaných služeb ve vyšším režimu, je pro vaši společnost rozhodující režim vyšších povinností.
Smyslem tohoto pravidla je, aby společnost přijala jednotná pravidla. V praxi by totiž výskyt obou režimů v jedné organizaci byl nejen nevhodný ale i velmi obtížně aplikovatelný.
Chyba č. 5: Jsem dodavatel regulovaného subjektu = jsem regulovaný subjekt?
Návrh nového zákona o kybernetické bezpečnosti se zmiňuje i o dodavatelích regulovaných subjektů. Ti budou muset splňovat určité povinnosti. Půjde hlavně o pravidla, která na ně dopadnou prostřednictvím jejich zákazníků (regulovaných subjektů). To, že dodáváte své služby regulovanému subjektu, vás samo o sobě mezi regulované subjekty nekvalifikuje.
Dodavatel musí sám poskytovat nějakou regulovanou službu, aby se stal regulovaným subjektem, a zároveň naplnit všechna ostatní kritéria, která daná regulovaná služba bude požadovat. Proto i dodavatel, jako každá jiná společnost, se musí sám samoidentifikovat a určit, jestli je, či není regulovaným subjektem. Pokud nebude, budou se na něj vztahovat jen povinnosti jako na dodavatele regulovaných subjektů a nebudete se muset ohlašovat na NÚKIB.
