Dne 16. ledna 2023 vstoupila v platnost nová evropská směrnice o bezpečnosti sítí a informací NIS2, která nejen, že výrazně ovlivní návrh nového zákona o kybernetické bezpečnosti, ale také rozšíří okruh firem a institucí, kterých se budou předpisy nově týkat. České republice tedy nyní běží lhůta 21 měsíců, během níž musí dojít k implementaci do legislativy. A během této doby se na veškeré změny musí připravit také stávající i nově dotčené subjekty.
Nová Evropská směrnice NIS 2 zvyšuje počet regulovaných odvětví
Původní směrnice NIS, která platila doposud a jejíž články se propsaly do současné podoby kybernetického zákona, mířila především na kritickou infrastrukturu státu a subjekty, které se podílejí na chodu této infrastruktury. Vzhledem k tomu, že digitalizace v průběhu posledních několika let pokročila a prakticky již neexistuje odvětví, které by se bez informačních systémů obešlo, směrnice NIS2 rozšiřuje okruh o dalších nejméně šest tisíc soukromých i státních společností a regulované společnosti definuje ve dvou nových kategoriích. Tou první je základní subjekt, přičemž tyto povinné osoby mají být tím nejdůležitějším, co bude v rámci regulace chráněno. Druhou skupinou pak budou povinné osoby v kategorii důležitý subjekt. „Rozdíly mezi nimi jsou dány rozdílnou mírou rizika, která by měla být zohledněna při zavádění požadavků k řízení kyberbezpečnostních rizik, a rozdílným způsobem kontroly dodržování stanovených požadavků,“ uvádí na svých webových stránkách NÚKIB.
Směrnice tedy jednak zvýší počet regulovaných odvětví, rozšíří se stávající regulovaná odvětví o nové regulované služby a změní se i způsob identifikace povinných osob. Kybernetická bezpečnost se tedy bude muset naplňovat například při výrobě elektřiny, poskytování zdravotní péče, poskytování služeb elektronických komunikací, ale také u dalších více než šedesáti služeb roztříděných do osmnácti odvětví. „Směrnice také stanovuje kritéria, podle kterých budou subjekty vědět, zda se budou muset novým zněním kybernetického zákona řídit. Jde například o počet zaměstnanců, obrat či oblast podnikání. Znamená to, že směrnice dopadne nejen na velké, ale též i na střední podniky,“ doplňuje Lukáš Pirkl ze společnosti Algotech, která zajišťuje IT služby.
NIS 2 také například stanovuje, že vrcholný management povinných subjektů bude muset absolvovat školení, která zajistí dostatečné znalosti a dovednosti nezbytné k tomu, aby manažeři mohli identifikovat rizika a posoudit nejen postupy řízení kybernetických bezpečnostních rizik, ale i jejich dopad na poskytované služby. Dále podle Lukáše Pirkla definuje i to, jak má zabezpečení firem vypadat. „Nestanovuje sice přímo konkrétní produkty, ale udává úroveň zabezpečení, které lze dosáhnout pouze použitím produktů. Firmy tak budou muset začít už s předstihem investovat tak, aby do poloviny roku 2024 splňovaly stanovené regule,“ pokračuje s tím, že směrnice v sobě obsahuje i výrazně vyšší pokuty za nedodržení povinností. NÚKIB dále říká, že v případě porušení povinností základními subjekty hrozí pokuty, jejichž horní hranice sazby bude stanovena na nejméně 10 milionů EUR nebo na alespoň 2 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce. V případě porušení povinností důležitými subjekty bude horní hranice sazby pokuty stanovena na nejméně 7 milionů EUR nebo na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce.
Směrnice NIS 2 obsahuje změny, na které již pravděpodobně nebude možné reagovat novelizací zákona o kybernetické bezpečnosti. Proto NÚKIB, v jehož gesci se daná problematika nachází, v současnosti pracuje na novém zákonu o kybernetické bezpečnosti, který poté bude procházet klasickým legislativním procesem.
Více informací na www.algotech.cz
Algotech, a. s.
Česká společnost Algotech se už 25 let řadí mezi průkopníky nových technologií. Svými výsledky patří v Česku mezi přední firmy oboru ICT. Nabídka služeb Algotechu je postavena na několika základních pilířích. Tím prvním jsou cloudové služby. Ve svém vlastním datovém centru nedaleko Prahy spravuje Algotech petabyty zákaznických dat a tisíce serverů. Díky tomu společnost garantuje uložení i pohyb dat výlučně na území Česka. Dalším pilířem Algotechu jsou řešení pro call centra. Krom toho se Algotech zabývá systémy pro řízení vztahů se zákazníky (CRM) a podnikovými informačními systémy (ERP). Algotech nabízí svým klientům také vývoj softwarů na zakázku. Celou nabídku služeb a produktů podporuje unikátní pracoviště ServiceDesku, které je dostupné v českém i anglickém jazyce 24/7. V rámci oboru IT i mimo něj odbornost společnosti pokrývá témata kyberbezpečnosti, digitalizace a ochrany osobních údajů včetně GDPR. Mezi klienty Algotechu patří například Komerční banka, Škoda Auto, Český rozhlas, Toyoda Gosei, Moneta Money Bank, Raiffeisen Bank a další. Služby jsou však vhodné i pro menší a středně velké firmy.
Dana Samková
