Tuzemské firmy by se v brzké době měly začít připravovat na nové unijní regulace známé pod zkratkami NIS2 a DORA. Ty do českého podnikatelského prostředí přináší výrazný požadavek na zvýšení kybernetické bezpečnosti. Podle odhadů dopadnou až na šest tisíc českých firem a dalších organizací, které budou muset v následujících letech podstatně upravit svá bezpečnostní opatření, aby účinným způsobem snížily rizika možnosti kybernetických incidentů.
Nová evropská regulace přichází do Česka. V oblasti kybernetické bezpečnosti významně ovlivní až 6 tisíc tuzemských společností včetně finančního sektoru
„Rozšíření okruhu regulovaných institucí s ohledem na další regulace z balíčku kybernetické odolnosti EU může vyvolat ještě větší nedostatek odborníků kybernetické bezpečnosti na pracovním trhu. Zejména u menších subjektů nebude možné sestavit plnohodnotný tým odborníků na všechny oblasti kybernetické bezpečnosti, jednoduše nebudou k dispozici,” uvedl Jan Pich, Cyber Security Manager, EY, a nastínil řešení: „Stejně jako jsme se naučili využívat služeb sdílení automobilu nebo kol ve městech, tak i v oblasti kybernetické bezpečnosti lze očekávat zajišťování některých komponent formou outsourcingu.”
Návrh zákona rovněž stanovuje povinnosti i pro vrcholové vedení regulovaných firem, které se bude muset účastnit školení či se seznamovat s výstupy bezpečnostních kontrol. Při zjištění porušení povinnosti přitom bude moci NÚKIB navrhnout soudu pozastavení výkonu funkce člena vedení. Nové povinnosti budou organizace muset splnit do poloviny roku 2025, vzhledem ke komplexnosti problematiky je vhodné začít aktivity plánovat již nyní.
Nařízení DORA (Digital Operational Resilience Act) v následujících měsících významným způsobem ovlivní celý finanční sektor EU, včetně toho v České republice.
Vytvoří komplexní a jednotný soubor pravidel kybernetické bezpečnosti, kterému se budou muset přizpůsobit prakticky všechny finanční subjekty, ať už banky a stavební spořitelny, pojišťovny, investiční společnosti či obchodníci s cennými papíry. Hlavním cílem je ochrana finančních subjektů a jejich zákazníků před stále častějšími kybernetickými útoky. „Finanční subjekty budou mít povinnost vypracovat komplexní strategii řízení ICT rizika a v jejím rámci zavést vhodná bezpečnostní opatření, detekovat incidenty, provádět pravidelná testování své digitální odolnosti, školit své pracovníky i upravit své smlouvy s dodavateli tak, aby vyhovovaly nařízení DORA,“ dodal Josef Donát, advokát a odborník na IT a bankovní regulaci z ROWAN LEGAL.
Petr Podzimek
Lucie Lehotská
O ROWAN LEGAL
ROWAN LEGAL je přední tuzemskou advokátní kanceláří specializující se na řešení sporů a arbitráží, korporátní a obchodní právo, duševní vlastnictví, IT, telekomunikace a hospodářskou soutěž včetně veřejných zakázek. Mezi její klienty patří největší národní a mezinárodní korporace včetně veřejných institucí. V kancelářích v Praze a Brně zaměstnává přes 100 spolupracovníků, z toho více než 70 zkušených právníků pravidelně oceňovaných v tuzemských i mezinárodních oborových žebříčcích.