NIS2: Povinnosti podle nového kyberzákona

NIS2 v Česku, zlom v kyberbezpečnosti dorazí letos
Směrnice NIS2 vytvořila dvě kategorie subjektů regulovaných služeb. Jedná se o základní subjekt (essential subject) a důležitý subjekt (important subject). Ty se pak liší požadavky, které musí organizace splňovat.
V českém právním řádu bude NIS2 přenesená do nového zákona o kybernetické bezpečnosti a jeho prováděcích vyhlášek. Návrh zákona o kybernetické bezpečnosti k tomuto přistupuje mírně odlišně a zavádí jeden subjekt poskytovatele regulované služby se dvěma režimy. Setkáme se tedy s režimem vyšších povinností, který odpovídá kategorii základní subjekt dle NIS2 a režimem nižších povinností, který odráží kategorii důležitý subjekt.
Pokud je organizace poskytovatelem regulované služby, povinnosti, které bude muset plnit závisí na tom, v jakém režimu je zařazená. Více o české legislativě, která vychází z NIS2 si můžete přečíst zde.
Bezpečnostní opatření ve vyšším režimu povinností

Návrh zákona o kybernetické bezpečnosti rozděluje bezpečnostní opatření do dvou skupin. Na opatření organizační (14) a opatření technická (11). Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností pak uvádí konkrétní obsah těchto povinností.  

Organizační opatření

Technická opatření

Nově budou muset organizace ve vyšším režimu mít osoby zastávající bezpečnostní role: manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, garanta aktiva a auditora kybernetické bezpečnosti.

Pro představu obsahu opatření se blíže podíváme například na opatření k bezpečnostním rolím. Nově budou muset organizace ve vyšším režimu mít osoby zastávající role manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, garanta aktiva a auditora kybernetické bezpečnosti. Vrcholové vedení organizace má povinnost tyto osoby určit. Každá z těchto bezpečnostních rolí by měla splňovat požadavky stanovené vyhlášku a doporučuje se řídit i její přílohou, která role ještě více rozvádí.  

Bezpečnostní opatření v režimu nižších povinností

Pro poskytovatele regulované služby v režimu nižších povinností zákon organizační a technická opatření zvlášť nevyjmenovává, ale jsou uvedeny dohromady. Jedná se tak celkem o 13 bezpečnostních opatřeních uvedených v návrhu nového zákona o kybernetické bezpečnosti, kdy v aktuálním znění návrhu vyhlášky v režimu nižších povinností jich je rozvedeno pouze 11. Chybí v ní zakotvení řízení aktiv a řízení rizik. Jaké všechny povinnosti budou definitivně pro nižší režim (případně i vyšší režim) stanovené se dozvíme zřejmě až potom, co nová právní úprava projde schválením v Parlamentu. 

Bezpečnostní opatření v nižším režimu:

Oproti bezpečnostním rolím rozvedeným výše ve vyšším režimu povinností je v tom nižším takto nenajdeme. Pod bezpečnostním opatřením zajišťování kybernetické bezpečnosti se však objevuje povinnost určit osobu odpovědnou za kybernetickou bezpečnost. Tato osoba bude odpovídat u organizací v nižším režimu za řízení a rozvoj kybernetické bezpečnosti a komunikaci s vrcholovým vedením.

Touto rolí může být pověřena osoba, která pro tuto činnost absolvuje odborné školení specifikované vyhláškou nebo prokáže odbornou způsobilost. Tuto roli může vykonávat již některý ze stávajících zaměstnanců, například osoba odpovědná za provoz IT. Na tomto příkladu si můžeme hezky ukázat, že nižší režim je opravdu mírnější než režim vyšších povinností.

Spadáte pod novou legislativu?

Vyvinuli jsme aplikaci, kde si po zadání odpovědí na jednoduché otázky můžete zdarma ověřit, zda pod novou regulaci pravděpodobně spadnete či nikoliv. Dozvíte se i co budete muset případně plnit a jaké by měly být další kroky, které v tomto směru musíte podniknout.
Zvláštní povinnosti v odvětví digitální infrastruktury a služeb

Návrh zákona o kybernetické bezpečnosti ve stavu, kdy byl předložen v dubnu 2024 Legislativní radě vlády, přichází se speciálním ustanovením pro poskytovatele regulovaných služeb v odvětví digitální infrastruktury a služebJedná se o poskytovatele regulované služby, který je poskytovatelem regulované služby:

Organizace poskytující některou z těchto služeb budou muset ve vztahu k těmto službám zavést a provádět bezpečností opatření, která zahrnují alespoň: řízení rizik, řízení bezpečnostní politiky a bezpečnostní dokumentace, zvládání kybernetických bezpečnostních incidentů, řízení kontinuity činnosti, řízení dodavatelů, bezpečnou akvizici, vývoj a údržbu, aplikační bezpečnost, bezpečnost lidských zdrojů, kryptografické algoritmy, řízení přístupu a správu a ověřování identit.

Detaily teprve stanoví Evropská komise, a tyto požadavky budou mít přednost před povinnostmi stanovenými českými právními předpisy. Jedná se o zpřísnění bezpečnostních opatření pro všechny poskytovatele některé z výše uvedených regulovaných služeb a míra zpřísnění bude záviset na znění prováděcího předpisu Evropské komise. Lehce povzbudivé může být, že toto zpřísnění se má týkat poskytovatele regulované služby pouze ke konkrétním regulovaným službám. Ostatní regulované služby, které může tato organizace poskytovat a nespadají pod prováděcí předpis Komise se budou řídit podle režimu poskytovatele regulované služby, a tedy zákonem o kybernetické bezpečnosti a jeho vyhlášek.  

Buďte připraveni

Pomůžeme Vám s praktickou přípravou Vaší společnosti na novou legislativu o kyberbezpečnosti.

Další články

Ani při práci z domova nejste mimo dosah kybernetických hrozeb. Jak se na home office chránit? Přinášíme tipy, které pomohou udržet firemní data v bezpečí.
I díky certifikaci mohou společnosti posílit svou bezpečnost. Jak k zajištění compliance může přispět certifikace podle Aktu o kybernetické bezpečnosti?
Předvánoční sezóna přináší skvělé slevy, ale také zvýšené riziko podvodů. Jak se chránit? Přinášíme 8 tipů, jak na bezpečné nakupování online.

Newsletter

Chcete mít jistotu, že Vaše firma je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.

Kliknutím na odeslat vyjadřujete souhlas se zpracováním osobních údajů pro marketingové účely.