- Kateřina Kubíková
- David Polách
Nová úprava kybernetické bezpečnosti (dle NIS2) je od 19. června 2023 oficiálně v legislativním procesu. Přijetí zákona je plánováno na druhou polovinu roku 2024 a dle aktuálního návrhu bude nutné povinnosti splňovat přibližně do jednoho roku od nabytí jeho účinnosti.
Cílem navržené úpravy je překlopit směrnici NIS2, do českého právního řádu. Nejedná se však o první úpravu kybernetické bezpečnosti u nás.
Předložení zákona do legislativního procesu předcházelo zveřejnění návrhu ze strany Národního úřadu pro kybernetickou bezpečnost (NÚKIB) již v lednu 2023, kdy z vlastní iniciativy umožnil veřejnosti zákon projít a vznést k němu návrhy a připomínky. Finální dokument obsahující vypořádání těchto návrhů a připomínek měl pak přes 1000 stran. To svědčí o nadstandardním úsilí, které NÚKIB přípravě nové legislativy věnuje.
Jak vypadala právní úprava kybernetické bezpečnosti doposud?
Česká republika jako jedna z prvních zemí v Evropě již v roce 2014 přijala zákon o kybernetické bezpečnosti, který byl postupně doplňován dalšími prováděcími právními předpisy. Nejvýznamnějším pro praxi je pak vyhláška o kybernetické bezpečnosti, která zavedla povinnost implementovat organizační a technická opatření (například školení zaměstnanců v oblasti kybernetické bezpečnosti a nastavení přístupových oprávnění).
Tato právní regulace slouží jako podklad, na kterém bude stát nová právní úprava, protože bezpečnostní opatření v oblasti kybernetické bezpečnosti a jejich zavedení tvoří její největší část.
V České republice oproti jiným státům Evropy tedy nebudujeme regulaci kybernetické bezpečnosti úplně od nuly.
Právní regulace kyberbezpečnosti po implementaci NIS2
Blížící se úprava kybernetické bezpečnosti je tvořena souborem nových právních předpisů. Jedná se o:
- Nový zákon o kybernetické bezpečnosti
- Vyhlášku o regulovaných službách
- Vyhlášku o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností
- Vyhlášku o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností
- Vyhlášku o Portálu NÚKIB a požadavcích na vybrané úkony
- Vyhlášku o nepominutelných funkcích stanoveného rozsahu
Pro organizace, které zvažují, zda na ně povinnosti vyplývající z nové úpravy dopadnou, jsou nejdůležitější první čtyři výše uvedené předpisy. Z nich je totiž možné zjistit, zda pod novou úpravu kybernetické bezpečnosti spadáte, jaké konkrétní povinnosti musíte splnit a jaká bezpečnostní opatření zavést.
Abychom Vám ušetřili práci, vyvinuli jsme aplikaci, kde si po zadání odpovědí na jednoduché otázky můžete zdarma ověřit, zda pod novou regulaci pravděpodobně spadnete či nikoliv. Dozvíte se i co budete muset případně plnit a jaké by měly být další kroky, které v tomto směru musíte podniknout.
Spadáte pod novou legislativu?
Jaké předpisy budou nově upravovat kybernetickou bezpečnost?
Zákon o kybernetické bezpečnosti
Zákon o kybernetické bezpečnosti je hlavním právním předpisem nové úpravy. Vysvětluje základní pojmy, stanoví obecné podmínky pro to, kdo bude muset nové povinnosti plnit a bude tak považován za poskytovatele regulované služby, vymezuje základní povinnosti těchto organizací, rozebírá práva a povinností Národního Úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a stanovuje podmínky pro nápravná opatření a udělení sankcí.
Daná témata jsou v zákoně upravena pouze v obecné rovině – to proto, že zákon stanovuje jen jakousi kostru. Povinnosti jsou podrobněji rozvedeny v jednotlivých vyhláškách.
Vyhláška o regulovaných službách
Stanoví, které služby jsou dle NIS2 tak významné, že u nich musí být řešena kybernetická bezpečnost a kritéria, po jejichž splnění je subjekt považován za poskytovatele této regulované služby. To pro něj znamená nutnost splnit povinnosti vyplývající z vyhlášek.
Vyhláška stanovuje celkem 22 regulovaných služeb. Jde například o výkon veřejné správy, organizace zabývající se energetikou, či dopravou (ať už železniční, leteckou, vodní nebo silniční), chemický a výrobní průmysl, organizace zabývající se službami v oblasti digitální infrastruktury a služeb anebo organizace věnující se zdravotnictví.
Při určování režimu povinností organizace se posuzují 2 kritéria – personální a finanční. Vychází se z dělení podniků dle evropského práva na mikro, malé, střední a velké. Pro naše potřeby jsou nejdůležitější zejména stření a velké podniky, kam zjednodušeně spadají podniky, které mají alespoň 50 zaměstnanců a obrat vyšší 10 milionů EUR pro střední podnik, nebo má alespoň 250 zaměstnanců a obrat vyšší než 50 milionů EUR pro velký podnik.
Tato vyhláška definuje i, který podnik je malý, střední, velký apod. Nicméně přímo ve vyhlášce se definici nedozvíme, jelikož to vysvětluje pomocí odkazů na předpis EU. Velikost podniku je důležitá pro určení, jestli organizace bude spadat pod vyšší nebo nižší režim povinností.
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností
Reguluje zejména bezpečnostní opatření. Protože jich je poměrně hodně (25) jsou pro přehlednost a z důvodu své rozdílnosti rozdělena na 2 skupiny – organizační a technická.
Do organizačních opatření spadají například povinnosti vrcholového vedení, řízení aktiv a řízení dodavatelů. Mezi technická opatření pak vyhláška řadí třeba bezpečnost komunikačních sítí, aplikační bezpečnost a užívání kryptografických prostředků.
Vyhláška obsahuje také řadu příloh, kterými je užitečné se alespoň inspirovat při tvorbě interní dokumentace společnosti. Jedná se například o stupnice pro hodnocení dostupnosti, důvěrnosti a integrity aktiv organizace, praktické pomůcky pro provádění risk analýzy, seznam typových zranitelností a hrozeb nebo výčet požadavků na vzdělání či praxi osob, které by měly v organizaci zastávat bezpečnostní role (architekt kybernetické bezpečnost, manažer kybernetické bezpečnosti a další).
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností
Oproti předchozí vyhlášce tato obsahuje bezpečnostních opatření výrazně méně – celkem 11. Rozdělení na opatření organizační a technická v této vyhlášce chybí. Nižší režim je méně přísný než vyšší a požadavky kladné v něm na povinné subjekty jsou tak mírnější, například místo několika bezpečnostních rolí mají společnosti určit osobu odpovědnou za kybernetickou bezpečnost.
Vyhláška o Portálu Úřadu a požadavcích na vybrané úkony a vyhláška o nepominutelných funkcích stanoveného rozsahu
Vyhláška o Portálu Úřadu upravuje přístup do portálu NÚKIB a způsob hlášení kybernetických bezpečnostních incidentů. Druhá vyhláška pak popisuje nepominutelné funkce stanoveného rozsahu pro regulovanou službu zajišťování veřejné komunikační sítě a regulovanou službu poskytování veřejně dostupné služby elektronických komunikací.
