Směrnice NIS 2 ↗ a nový návrh zákona o kyberbezpečnosti ↗, který nedávno zveřejnil NÚKIB, přináší do oblasti kyberbezpečnosti zásadní změny. Na dotčené organizace a jejich statutáry čeká aktualizovaná řada povinností. Zásadní otázkou ale zůstává, kdo že je ta dotčená organizace? NIS 2 totiž zvýší počet subjektů, na které právní úprava dopadne. A bude to pěkný guláš. Jak tedy zjistit, jestli nová pravidla dopadnou právě na vás?
Tady je návod ve třech krocích:
Platí, že pokud již nyní musíte dodržovat povinnosti v oblasti kyberbezpečnosti, na 99 % budete regulováni i nadále.
Pokud jste ovšem doposud kybernetickou bezpečnost neřešili a působíte v EU, začněte tím, že se podíváte, zda spadáte pod definici povinného subjektu dle NIS 2.
Jste střední nebo velký podnik, popř. výhradní poskytovatel určité služby ve členském státě EU?
Pokud ne, pravděpodobně si můžete oddychnout. Pokud ano, pokračujte druhým krokem. ✅
Druhý krok spočívá v určení, zda vykonáváte relevantní činnost podle NIS 2.
Zbystřete, pokud podnikáte v energetice, včetně těžby a distribuce, nebo v:
Našli jste se v některém z těchto odvětví? Přejděte na třetí krok. ✅
Ve třetím kroku nahlédněte do příloh I a II NIS 2, které Vám konkrétně napoví, zda vaše podnikání bude regulováno nebo ne. Tento krok je časově nejnáročnější.
Příloha obsahuje spoustu odkazů na další sektorové předpisy a katalogy NACE, řádné posouzení tak klidně může zabrat pár hodin. Podle specifik podniku a podnikání pak spadnete do režimu:
Nechcete se trápit nad tím, zda právě na vás sektorové předpisy dopadnou? Neváhejte se obrátit na nás ↗.
Pokud jste se našli ve všech třech krocích, měli byste se zabývat požadavky národní úpravy kyberbezpečnosti ve členských státech. Ty přitom mohou aplikovatelnost NIS 2 rozšířit, případně mohou stanovit na pro určitou činnost režim vyšších povinností, i když by jinak NIS 2 požadovala jen režim povinností nižších.
A jak to je v ČR? Pojďme se podívat na naše národní požadavky.
V České republice má nový zákon o kybernetické bezpečnosti (podle stávajícího návrhu NÚKIB) o něco šírší dopad než NIS 2. Navíc řadě subjektů ukládá přísnější povinnosti, než je vyžadována NIS 2. Co do určení povinné osoby je úprava v zásadě stejná.
Odlišnosti jsou ale u určení regulované služby. Jaké?
Explicitně rozšiřuje záběr na vojenský průmysl.
Že se vás vojenský průmysl nemůže vůbec týkat? Do vojenského průmyslu spadá také výroba a distribuce zboží dvojího užití. Tím může být vše, včetně software a technologií, co lze použít jak pro civilní, tak pro vojenské užití podle evropského nařízení ↗.
Pro vývoz konkrétního zboží dvojího užití uvedeného v příloze č. I je vyžadováno povolení – regulace pak dopadá např. na:
Čas, který vynaložíte na analýzu, zda na Vás regulace dopadne, tak bude zpravidla oproti NIS 2 několikanásobný. Stále platí, že návrh nového zákona má dopadat také na zboží dvojího užití v příloze neuvedené, tedy na vše, co lze použít pro vojenské účely. S nadsázkou se dá říct, že i sbírky vánočních koled potenciálně podléhají regulaci, pokud jimi hodláte mučit osoby v doslechu. 🙃
Naše doporučení? Soustřeďte se na specifikace dle NIS 2. Zákon a vyhlášky jsou samozřejmě v legislativním procesu, tedy doufám, že výroba a distribuce zboží dvojího užití z dosahu regulace buď vypadne, popř. se alespoň omezí na zboží definované konkrétně v příloze evropského nařízení o zboží dvojího užití. Pokud tak potenciálně vyrábíte zboží dvojího užití, včetně plechovek fazolí, sledujte pozorně další legislativní vývoj.
Pokud dospějete k tomu, že na vás NIS 2 dopadne, je nejjednodušší, zdaleka však ne nejsnadněji dosažitelnou cestou podřadit pod požadovanou úroveň kyberbezpečnosti všechny společnosti a procesy ve skupině. Pokud ale NIS 2 dopadá na minoritu vašich společností či procesů, nedává takový postup z hlediska efektivity smysl.
Zvažte tedy, zda nezajistit odpovídající úroveň kyberbezpečnosti podle NIS 2 pouze u těch subjektů, které provádí regulovanou činnost. Pokud podléhá regulaci pouze výroba zboží a ne jeho distribuce, nebo pokud je daná činnost regulovaná pouze v některém státě, ve kterém působíte, zvažte zavedení úrovně kyberbezpečnosti jen pro procesy spojené s touto regulovanou činností.
Regulátoři na české a evropské úrovni se k tomuto postupu zatím staví příznivě, byť s výhradou toho, že NIS 2 a aktuální návrh zákona něco takového nemusí umožňovat a povinnosti by vždy dopadaly na podnik jako celek, i když by regulovaná činnost byla naprosto minoritní.
Levnější a jistější cestou je vyčlenit regulovanou činnost do samostatného subjektu.
Pokud chcete vědět, jaké konkrétní povinnosti se na vás budou vztahovat, neváhejte se na nás obrátit ↗.
Nepanikařte. Lhůta, do kdy má být zákon přijat, končí v půlce října 2024. Určitě ale už nyní doporučujeme kvalifikovaně ověřit, zda na vás NIS 2 a případně aktuální verze nového zákona dopadne: v řadě případů si tímto můžete být jistí už nyní.
Pokud na vás nová regulace s jistotou dopadne, pusťte se bez paniky do projektového plánování a strategie implementace NIS 2. Implementace bezpečnostních opatření, aktualizace vašich aktiv (zejména hardware a software) a pořízení nových nějaký čas zabere. Nemá smysl si v mezidobí pořizovat aktiva nevyhovující. Změny související s organizačním nebo korporátním vyčleněním regulovaných činností pak budou trvat ještě déle.
Pokud nemáte jistotu, že budete regulováni (typicky u zmíněného zboží dvojího užití), sledujte nebo si nechte sledovat národní legislativní procesy.
A i pokud na Vás regulace nedopadne, mějte kyberbezpečnost ve vašem podniku vždy na vědomí.
Meziroční nárůst kybernetických útoků v roce 2022 činil celých 38 % a průměrná celosvětová škoda ↗ z kybernetického incidentu činila 4,35 mil. USD. I když tedy nebudete muset plnit striktně zákonné povinnosti, určitě se hodí se na oblast kyberbezpečnosti zaměřit jako na jedno z hlavních témat pro následující roky.
Hledáte partnera pro zvládnutí implementace NIS 2 a souvisejících předpisů ve vaší organizaci? Napište nám ↗.
Bohuslav Lichnovský a Tomáš Kasalický.