- Veronika Beňová
Máte pocit, že dobře víte, co vaše organizace dělá, a že se vás nový zákon o kyberbezpečnosti rozhodně nemůže týkat? Protože nepodnikáte v žádném z 22 regulovaných odvětví, nemáte stovky zaměstnanců nebo nejste kritická infrastruktura? Jenže problémy nevznikají tam, kde je to naprosto jasné, ale tam, kde by to právě nikdo nepředpokládal. V jakých situacích na vás může zákon dopadat, aniž byste to třeba na první dobrou čekali?
Vaše „vedlejší činnost“ může být z pohledu zákona zásadní
Firmy často projdou seznam regulovaných odvětví, porovnají ho se svým primárním podnikáním a tím skončí. Jenže zákon se neptá, co vás živí, ale co opravdu děláte. A to klidně i „mimochodem“. Regulovaná služba se tak může schovávat tam, kde to nečekáte. Vyplatí se zaměřit se i na zdánlivé detaily a položit si například tyto otázky:
- Používáte nebo vyrábíte chemikálie? Nespadáte pod zákon o prevenci závažných havárií?
- Poskytujete IT podporu jinému IČO?
- Provozujete FVE nad 1MW – třeba i pro vlastní potřebu?
- Neplánujete v rámci ESG ve větší míře (nad 50 kusů) pořizovat veřejně přístupné elektro-nabíječky pro elektro-auta?
- Vyvíjíte SW, ke kterému potom poskytujete podporu ostatním společnostem?
- Přepravujete pro někoho odpad? Obchodujete s ním? Odpadové hospodářství má čtyři regulované služby, nespadáte pod ně?
- Jaké všechny činnosti děláte v potravinářství? Věděli jste, že prvovýroba, distribuce nebo zpracování potravin může být regulovaná služba?
Těmito otázkami vám chceme říct, že vaše „vedlejší činnost“, kterou provozujete klidně i „mimoděk“ může být z pohledu zákona o kybernetické bezpečnosti zásadní.
Je dobré na to myslet, protože velká část organizací netuší, že pod zákon může spadat jen proto, že dělají nějakou činnost v rámci svého běžného provozu. Ať už je to fotovoltaika nad 1MW pro vlastní potřebu, plán instalace veřejných nabíječek, veřejná vlečka, logistika pro jiný subjekt nebo IT služby v rámci holdingu – to všechno mohou být důvody, proč se z běžné organizace stane poskytovatel regulované služby.
Nepodceňujte ani digitální služby
Jedna z nejproblematičtějších oblastí je služba Poskytování řízené služby (ve vyhlášce o regulovaných službách ji najdete pod číslem 16.13). U této služby stačí, že jste středním podnikem a staráte se jiné organizaci o její servery, hardware, sítě nebo aplikace nebo bezpečnost, a voilà poskytujete regulovanou digitální službu.
Nezáleží přitom, jestli jde o organizaci z vašeho holdingu, dlouholetého obchodního partnera, nebo jde jen o malou „přátelskou výpomoc“. Pokud tyto činnosti děláte pro jiné IČO, splňujete definici řízené služby a spadáte pod zákon o kybernetické bezpečnosti.
Typický příklad: V holdingu jedna společnost spravuje IT pro ostatních devět dceřiných nebo sesterských společností. Nic složitého, žádný velký byznys, ale právě tato činnost z ní dělá poskytovatele regulované digitální služby.
Budou se Vás týkat změny, které přináší nový zákon?
Využijte našeho bezplatného průvodce Urči.se a udělejte si základní posouzení sami.
Nezapomeňte výsledek ověřit s odborníkem!
Velikost organizace není jen o počtu lidí
Další překvapení a oblast, kde organizace pravidelně chybují, je určení velikosti. Společnosti se často považují za malé podniky. Pokud ale mají mateřskou společnost s 300 zaměstnanci, legislativně přestávají být „malé“ už jen tímto propojením a povinnosti se jim tím zásadně mění.
Do velikosti organizace se totiž započítávají i zaměstnanci z propojených společností. Firma s 30 lidmi se tak může stát středním nebo velkým podnikem jen proto, že je součástí holdingu. Někdy stačí i zahraniční mateřská firma, která má stovky zaměstnanců a máte propojené systémy a společnou infrastrukturu.
Kromě toho zákon pracuje s FTE (přepočtenými úvazky), takže například dva půl úvazky = jeden zaměstnanec. Doporučujeme i na tohle při výpočtu velikosti myslet.
Sdílená technická aktiva rozhodují o propojenosti
U majetkově propojených organizací se jejich velikost nově nesčítá automaticky, ale jen tehdy, pokud tyto organizace sdílejí technická aktiva. To znamená, že mají společné IT vybavení, infrastrukturu, servery, aplikace a podobné technologie. V praxi to může vypadat takhle:
- Pokud mateřská firma poskytuje IT podporu dceřiným společnostem, aktiva jsou propojená a počty zaměstnanců se sčítají.
- Pokud si každá firma spravuje IT sama, aktiva propojená nejsou a firmy se posuzují samostatně.
Rozdíl mezi tím, jestli „spadáme do vyššího režimu“, nebo „nespadáme pod zákon vůbec“, může být v jednom jediném rozhodnutí, kde je hostován váš server.
Otázky, které by si byste si měli položit
Abyste měli jistotu, že samoidentifikaci zvládnete správně, vyplatí se začít se základními, ale velmi praktickými otázkami:
- Jaké činnosti skutečně provádíme, včetně těch, které nejsou součástí hlavní podnikatelské činnosti?
- Co děláme sami a co děláme pro jiné společnosti?
- Nespravujeme někomu IT?
- Máme technologie, které spadají pod jinou regulaci (ERÚ, chemie, licence pro nakládání s odpady)?
- Neplánujeme investice, které nás do regulace mohou dostat (FVE, rozšíření výroby)?
Právě tyto otázky často jako první ukážou, že regulovaná služba může být skryta tam, kde byste ji vůbec nehledali. I proto je samoidentifikace nejzrádnější, ale zároveň nejdůležitější částí celého procesu.
Pokud chcete mít jistotu, že identifikujete regulované služby správně a nezapomenete na žádnou „skrytou regulovanou službu“, má smysl nechat si udělat odborné posouzení regulovaných služeb. Získáte konkrétní výstup a hlavně klid, že nic podstatné nepřehlížíte.
