Směrnice NIS2 ↗ a nový návrh zákona o kyberbezpečnosti ↗, který nedávno zveřejnil NÚKIB, přináší do oblasti kyberbezpečnosti zásadní změny. Na dotčené organizace a jejich statutáry čeká aktualizovaná řada povinností. Zásadní otázkou ale zůstává, kdo že je ta dotčená organizace? NIS 2 totiž zvýší počet subjektů, na které právní úprava dopadne. A bude to pěkný guláš. Jak tedy zjistit, jestli nová pravidla dopadnou právě na vás?
Tady je návod ve třech krocích:
Platí, že pokud již nyní musíte dodržovat povinnosti v oblasti kyberbezpečnosti, na 99 % budete regulováni i nadále.
Pokud jste ovšem doposud kybernetickou bezpečnost neřešili a působíte v EU, začněte tím, že se podíváte, zda spadáte pod definici povinného subjektu dle NIS2.
Jste střední nebo velký podnik, popř. výhradní poskytovatel určité služby ve členském státě EU?
Pokud ne, pravděpodobně si můžete oddychnout. Pokud ano, pokračujte druhým krokem. ✅
Druhý krok spočívá v určení, zda vykonáváte relevantní činnost podle NIS2.
Zbystřete, pokud podnikáte v energetice, včetně těžby a distribuce, nebo v:
Našli jste se v některém z těchto odvětví? Přejděte na třetí krok. ✅
Ve třetím kroku nahlédněte do příloh I a II NIS2, které Vám konkrétně napoví, zda vaše podnikání bude regulováno nebo ne. Tento krok je časově nejnáročnější.
Příloha obsahuje spoustu odkazů na další sektorové předpisy a katalogy NACE, řádné posouzení tak klidně může zabrat pár hodin. Podle specifik podniku a podnikání pak spadnete do režimu:
Nechcete se trápit nad tím, zda právě na vás sektorové předpisy dopadnou? Neváhejte se obrátit na nás ↗.
Pokud jste se našli ve všech třech krocích, měli byste se zabývat požadavky národní úpravy kyberbezpečnosti ve členských státech. Ty přitom mohou aplikovatelnost NIS2 rozšířit, případně mohou stanovit na pro určitou činnost režim vyšších povinností, i když by jinak NIS2 požadovala jen režim povinností nižších.
A jak to je v ČR? Pojďme se podívat na naše národní požadavky.
V České republice má nový zákon o kybernetické bezpečnosti (podle stávajícího návrhu NÚKIB) o něco šírší dopad než NIS2. Navíc řadě subjektů ukládá přísnější povinnosti, než je vyžadována NIS2. Co do určení povinné osoby je úprava v zásadě stejná.
Odlišnosti jsou ale u určení regulované služby. Jaké?
Explicitně rozšiřuje záběr na vojenský průmysl.
Že se vás vojenský průmysl nemůže vůbec týkat? Do vojenského průmyslu spadá také výroba a distribuce zboží dvojího užití. Tím může být vše, včetně software a technologií, co lze použít jak pro civilní, tak pro vojenské užití podle evropského nařízení ↗.
Pro vývoz konkrétního zboží dvojího užití uvedeného v příloze č. I je vyžadováno povolení – regulace pak dopadá např. na:
Čas, který vynaložíte na analýzu, zda na Vás regulace dopadne, tak bude zpravidla oproti NIS2 několikanásobný. Stále platí, že návrh nového zákona má dopadat také na zboží dvojího užití v příloze neuvedené, tedy na vše, co lze použít pro vojenské účely. S nadsázkou se dá říct, že i sbírky vánočních koled potenciálně podléhají regulaci, pokud jimi hodláte mučit osoby v doslechu. 🙃
Naše doporučení? Soustřeďte se na specifikace dle NIS2. Zákon a vyhlášky jsou samozřejmě v legislativním procesu, tedy doufám, že výroba a distribuce zboží dvojího užití z dosahu regulace buď vypadne, popř. se alespoň omezí na zboží definované konkrétně v příloze evropského nařízení o zboží dvojího užití. Pokud tak potenciálně vyrábíte zboží dvojího užití, včetně plechovek fazolí, sledujte pozorně další legislativní vývoj.
Pokud dospějete k tomu, že na vás NIS2 dopadne, je nejjednodušší, zdaleka však ne nejsnadněji dosažitelnou cestou podřadit pod požadovanou úroveň kyberbezpečnosti všechny společnosti a procesy ve skupině. Pokud ale NIS2 dopadá na minoritu vašich společností či procesů, nedává takový postup z hlediska efektivity smysl.
Zvažte tedy, zda nezajistit odpovídající úroveň kyberbezpečnosti podle NIS2 pouze u těch subjektů, které provádí regulovanou činnost. Pokud podléhá regulaci pouze výroba zboží a ne jeho distribuce, nebo pokud je daná činnost regulovaná pouze v některém státě, ve kterém působíte, zvažte zavedení úrovně kyberbezpečnosti jen pro procesy spojené s touto regulovanou činností.
Regulátoři na české a evropské úrovni se k tomuto postupu zatím staví příznivě, byť s výhradou toho, že NIS2 a aktuální návrh zákona něco takového nemusí umožňovat a povinnosti by vždy dopadaly na podnik jako celek, i když by regulovaná činnost byla naprosto minoritní.
Levnější a jistější cestou je vyčlenit regulovanou činnost do samostatného subjektu.
Pokud chcete vědět, jaké konkrétní povinnosti se na vás budou vztahovat, neváhejte se na nás obrátit ↗.
Nepanikařte. Lhůta, do kdy má být zákon přijat, končí v půlce října 2024. Určitě ale už nyní doporučujeme kvalifikovaně ověřit, zda na vás NIS2 a případně aktuální verze nového zákona dopadne: v řadě případů si tímto můžete být jistí už nyní.
Pokud na vás nová regulace s jistotou dopadne, pusťte se bez paniky do projektového plánování a strategie implementace NIS2. Implementace bezpečnostních opatření, aktualizace vašich aktiv (zejména hardware a software) a pořízení nových nějaký čas zabere. Nemá smysl si v mezidobí pořizovat aktiva nevyhovující. Změny související s organizačním nebo korporátním vyčleněním regulovaných činností pak budou trvat ještě déle.
Pokud nemáte jistotu, že budete regulováni (typicky u zmíněného zboží dvojího užití), sledujte nebo si nechte sledovat národní legislativní procesy.
A i pokud na Vás regulace nedopadne, mějte kyberbezpečnost ve vašem podniku vždy na vědomí.
Meziroční nárůst kybernetických útoků v roce 2022 činil celých 38 % a průměrná celosvětová škoda ↗ z kybernetického incidentu činila 4,35 mil. USD. I když tedy nebudete muset plnit striktně zákonné povinnosti, určitě se hodí se na oblast kyberbezpečnosti zaměřit jako na jedno z hlavních témat pro následující roky.
Hledáte partnera pro zvládnutí implementace NIS2 a souvisejících předpisů ve vaší organizaci? Napište nám ↗.
Bohuslav Lichnovský a Tomáš Kasalický.