1. Vývoj právní úpravy kybernetické bezpečnosti v Českém právním řádu.
Vývoj právní úpravy kybernetické bezpečnosti v České republice lze sledovat již od počátku roku 2000, kdy vláda začala podnikat kroky k řešení rostoucí hrozby kybernetické kriminality. V roce 2004 přijala Česká republika svůj první zákon o kybernetické bezpečnosti č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů, jehož cílem bylo zajistit bezpečnost elektronických komunikací a chránit před kyberkriminalitou.
Od té doby Česká republika svůj právní rámec pro kybernetickou bezpečnost dále rozvíjela. V roce 2010 vstoupilo v platnost nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury. Stěžejní právní normou v této oblasti se pak stal zákon, který vstoupil v platnost s účinností od 1. ledna 2015, a to zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (ZKB), kterým byl posléze zřízen národní orgán pro kybernetickou bezpečnost, a to Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). NÚKIB je odpovědný za zajištění bezpečnosti informačních systémů a sítí v České republice a také za poskytování podpory státním orgánům a provozovatelům kritické infrastruktury.
V roce 2016 přijala Česká republika novelu ZKB v podobě zákona č. 104/2017 Sb., kterou zavedla systém hlášení kybernetických bezpečnostních incidentů a reakce na ně. Nově bylo vyžadováno, aby určité organizace hlásily veškeré významné kybernetické bezpečnostní incidenty NÚKIB, a rovněž byly stanoveny postupy pro reakci na incidenty a koordinaci s dalšími státními orgány.
Další novelou ZKB, a to zákonem č. 205/2017 Sb., byla do českého právního řádu implementována směrnice EU o bezpečnosti sítí a informačních systémů (směrnice NIS). Cílem zákona bylo zvýšit bezpečnost sítí a informačních systémů v kritických odvětvích, jako je energetika, doprava, zdravotnictví a finančnictví.
Celkově lze říci, že Česká republika v posledních letech dosáhla významného pokroku v rozvoji právního rámce kybernetické bezpečnosti a ZKB průběžně novelizuje, a to v podstatě každý rok.
2. Připravovaná novela právní úpravy NIS2.
Připravovaná norma NIS2 v České republice, jejíž zavedení se očekává od roku 2024, novelizuje a rozšíří stávající právní rámec pro kybernetickou bezpečnost v zemi. Nová norma bude upravovat stávající ZKB který do českého právního řádu implementoval směrnici EU o bezpečnosti sítí a informačních systémů (směrnice NIS).
Jaké klíčové změny norma NIS2 v České republice přinese?
- Širší oblast působnosti: Nová norma rozšíří působnost stávajícího zákona tak, aby se vztahovala nejen na provozovatele kritické infrastruktury, ale i na širší okruh poskytovatelů digitálních služeb, jako jsou například online tržiště, sociální sítě a vyhledávače.
- Přísnější požadavky na kybernetickou bezpečnost: Očekává se, že nová norma zavede přísnější požadavky na kybernetickou bezpečnost pro provozovatele základních služeb a poskytovatele digitálních služeb, včetně požadavků na hlášení incidentů, řízení rizik a testování kybernetické bezpečnosti.
- Zvýšený dohled: Nová norma posílí dohled a donucovací pravomoci NÚKIB, národního orgánu pro kybernetickou bezpečnost v České republice. NÚKIB bude mít více pravomocí kontrolovat a monitorovat dodržování nového standardu a také pravomoc ukládat pokuty za jeho nedodržování.
3. Koho se norma NIS2 bude týkat?
Po přijetí a zavedení bude mít standard NIS2 dopad na celou řadu organizací působících v České republice. Přesný rozsah platnosti směrnice bude záviset na konečné verzi směrnice a na tom, jak ji Česká republika implementuje do svého vnitrostátního práva.
Na základě současného návrhu se však norma NIS2 v České republice pravděpodobně dotkne následujících organizací:
- Provozovatelé základních služeb (OES): OES jsou definovány jako organizace v kritických odvětvích, jako je energetika, doprava, zdravotnictví, finance a digitální infrastruktura. Na ně se vztahují specifické požadavky na bezpečnost a podávání zpráv podle standardu NIS2.
- Poskytovatelé digitálních služeb (DSP): DSP jsou definováni jako poskytovatelé online tržišť, vyhledávačů a služeb cloud computingu. Podléhají specifickým bezpečnostním požadavkům a požadavkům na podávání zpráv podle normy NIS2.
- Veřejná správa: Na orgány veřejné správy na celostátní, regionální a místní úrovni se vztahují bezpečnostní požadavky a požadavky na podávání zpráv podle normy NIS2.
- Ostatní organizace: Ostatní organizace, které poskytují služby nezbytné pro fungování společnosti, jako jsou například vodárenské společnosti, budou pravděpodobně rovněž podléhat standardu NIS2.
Kromě výše uvedeného může mít standard NIS2 dopad také na poskytovatele služeb kybernetické bezpečnosti a další organizace třetích stran, které poskytují podporu OES a DSP. Je důležité poznamenat, že konečná oblast působnosti standardu NIS2 bude záviset na konečném znění směrnice a na implementaci směrnice do vnitrostátního práva v České republice.
4. Kdo mi pomůže zavést NIS2 směrnici v naší firmě?
Implementace směrnice NIS2 ve vaší společnosti může být složitý úkol a může být užitečné požádat o pomoc odborníky na kybernetickou bezpečnost a právníky, kteří mají s požadavky směrnice zkušenosti. Zde je několik možných zdrojů pomoci:
- Poradci v oblasti kybernetické bezpečnosti: Můžete využít služeb konzultantů v oblasti kybernetické bezpečnosti, kteří vám poradí, jak implementovat požadavky NIS2 ve vaší organizaci. Tito konzultanti vám mohou pomoci identifikovat potenciální rizika a kritická místa, vypracovat strategii kybernetické bezpečnosti a vytvořit zásady a postupy, které jsou v souladu s normou NIS2.
- Právní odborníci: Právní odborníci s odbornými znalostmi v oblasti kybernetické bezpečnosti a ochrany dat mohou poskytnout rady, jak zajistit soulad s požadavky standardu NIS2. Mohou vám pomoci orientovat se ve složitém právním prostředí a zajistit, aby vaše zásady a postupy splňovaly právní požadavky směrnice.
- Odvětvové asociace: Průmyslová sdružení a obchodní organizace mohou poskytnout pokyny, jak zajistit soulad s požadavky NIS2. Mohou také nabídnout školení a podporu, která vám pomůže zavést nezbytná opatření na ochranu sítí a informačních systémů vaší organizace.
- NÚKIB: NÚKIB je národním orgánem odpovědným za kybernetickou bezpečnost. Může vám poskytnout poradenství a podporu ohledně toho, jak splnit požadavky NIS2.
- Poskytovatelé služeb v oblasti bezpečnosti IT: Poskytovatelé služeb v oblasti bezpečnosti IT nabízejí řadu služeb, jako je posouzení rizik kybernetické bezpečnosti, penetrační testování a skenování zranitelností. Mohou vám pomoci identifikovat potenciální bezpečnostní hrozby a poskytnout řešení, která vám pomohou splnit požadavky NIS2.
Je důležité vybrat správné partnery, kteří vám pomohou s implementací směrnice NIS2. Měli byste zvážit jejich odborné znalosti, pověst a výsledky v oblasti kybernetické bezpečnosti a ochrany dat. Kromě toho byste se měli ujistit, že jsou obeznámeni s požadavky NIS2 a mají zkušenosti s implementací podobných standardů.
S čím Vám můžeme pomoci my?
- posouzení, zda Vaše organizace bude regulovaným subjektem podle NIS2,
- analýza, jaké povinnosti dle NIS2 na Vás dopadají,
- zhodnocení současných opatření a provedení analýzy k novým právním požadavkům,
- nastavení interních procesů v souladu s požadavky NIS2,
- interní nastavení a upřesnění odpovědnosti členů statutárního orgánu,
- revize smluv se stávajícími dodavateli,
- příprava interní právní agendy,
- sledování vývoje legislativního procesu a celkového compliance systému ve Vaši organizaci,
- školení členů statutárních orgánů, zaměstnanců, dodavatelů.