Koho se zákon týká?
Nový zákon o kybernetické bezpečnosti, který implementuje evropskou směrnici NIS2, prošel třetím čtením v Poslanecké sněmovně. Nyní čeká na schválení Senátem a podpis prezidenta. Po jeho účinnosti budou mít firmy 60 dní na registraci na Portálu NÚKIB a rok na splnění nových povinností.
Nový zákon rozšiřuje okruh regulovaných subjektů z původních pár stovek na přibližně 10 tisíc (uvádí se ale i 8 nebo 12 tisíc) z 22 různých odvětví, včetně energetiky, dopravy, zdravotnictví, potravinářství a dalších.
V každém z nich jsou přesně vyjmenované regulované služby – dohromady víc než 100. Má se jednat o nejdůležitější služby, u kterých je nutná jejich zvýšená ochrana v oblasti kybernetické bezpečnosti.
To, jestli na vás zákon dopadne, záleží na velikosti společnosti, typu i rozsahu služeb, které poskytujete. Pro rychlé ověření můžete využít dostupné nástroje, včetně našeho průvodce URCI.SE.
Časová osa
Klíčové povinnosti
Samoidentifikace a registrace: Všechny společnosti musí sami posoudit, jestli spadají pod regulaci, a do 60 dní od účinnosti zákona nebo zjištění, že poskytují regulovanou službu se musí registrovat na Portálu NÚKIB.
Zavedení bezpečnostních opatření: Implementovat opatření na zajištění kybernetické bezpečnosti v režimu vyšších nebo nižších povinností. Implementace základních bezpečnostních opatření může trvat 3 až 12 měsíců.
Řízení rizik a incidentů: Provádět analýzy rizik, zavést politiky bezpečnosti informačních systémů, hlášení incidentů či bezpečnosti dodavatelského řetězce
Role a dokumentace: Obsadit bezpečnostní role, spravovat a aktualizovat dokumentaci, zavést systémy pro monitorování událostí.
Zapojit vedení do kyberbezpečnosti: Top management bude muset převzít odpovědnost za kyberbezpečnost. Znamená to znát klíčové informace, rozumět dopadům svých rozhodnutí, podporovat bezpečnost a pravidelně se školit.
Jaké hrozí sankce?
Nedodržení povinností může vést k pokutám až do výše 250 milionů Kč nebo až 2 % celkového ročního obratu společnosti.
