Evropská směrnice NIS2 má za cíl zvýšit standard kybernetické bezpečnosti v Evropské unii. I v Česku dopadne v různé míře na řadu strategických odvětví ekonomiky, přičemž se týká středních nebo velkých podniků. Tedy pokud zaměstnávají 50 a více lidí nebo dosahují ročního obratu nebo bilanční sumy roční rozvahy alespoň deset milionů eur. „Podle odhadů dopadne směrnice zhruba na šest až deset tisíc subjektů,“ říká Barbora Vlachová, vedoucí advokátka kanceláře Císař, Češka, Smutný (CCS).
Co si má člověk představit pod tajemným názvem NIS2?
NIS je zkratkou z anglického Network and Information Security a číslo dvě naznačuje, že už tady nějaká předchozí směrnice NIS je. Jde o aktualizovanou verzi směrnice z roku 2016. Směrnice jako legislativní akt Evropské unie vyžadují implementaci do právního řádu jednotlivých členských států. Z toho plyne i primární úkol, a to zajistit soulad české legislativy s novou směrnicí. Nyní s ohledem na rostoucí digitalizaci a samozřejmě s rostoucí závislostí na kybersvětě ve všech odvětvích – zejména v těch kritických pro ekonomiku – je samozřejmě na místě, aby se pravidla více standardizovala u jednotlivých členských států. Směrnice NIS2 tedy zpřesňuje opatření oproti předchozí verzi směrnice NIS a jde více do detailu a do hloubky.
Potřebujeme vůbec tuto regulaci ať už z hlediska Evropské unie nebo jednotlivých států, když v zásadě problém kyberbezpečnosti musí řešit každá firma?
Kybernetickou bezpečnost by společnosti měly řešit bez ohledu na směrnici. Spolu se směrnicí NIS2 se ale pod zákonnou regulaci dostane daleko více subjektů než dosud. Zatím se týkala rámcově zhruba 600 povinných subjektů. Odhady, na koho by nově měla vlastně NIS2 dopadnout, se pohybují na úrovni mezi šesti až deseti tisíci firem. A jestli je potřeba taková regulace? Osobně souhlasím s tím, že tuto problematiku by neměly firmy řešit jenom proto, že jim to regulace přikazuje. Zároveň ji vnímám jako určitý návod, odkud se tématem začít zabývat. A také někde tato regulace prostě donutí firmy začít. Bohužel je pořád poměrně velká řada subjektů, pro které je kybernetická bezpečnost úplně na vedlejší koleji.
Čím konkrétně by tedy měly v reálu opravdu začít?
Určitě tím, že zjistí, jestli vlastně jsou povinnými subjekty, nebo ne. To znamená, že si provedou na své straně základní analýzu, jestli se jich vůbec regulace týká. Pokud jsou zde indicie, že ano, měly by si podrobně ověřit, jestli tomu tak skutečně bude. Nutno podotknout, že zatím ještě nemáme hotový nový zákon o kybernetické bezpečnosti, takže ne vše lze odhadnout se stoprocentní přesností. Pokud ale firma zjistí, že se jí regulace týká, tak by se na ni už teď měla začít připravovat.
Dalším krokem by určitě měla být analýza toho, jaké povinnosti na tuto firmu dopadnou. Základní rozlišení spočívá v tom, jestli je subjekt nebo povinná osoba poskytovatelem regulované služby v režimu vyšších, nebo v režimu nižších povinností. Poté doporučujeme prozkoumat, kde již povinnosti firma plní nyní a kde je nutná nějaká další implementace opatření. Takový počáteční stav u jednotlivých subjektů může být diametrálně odlišný, proto je důležitá ta předchozí analýza.
Zvládnou si firmy poradit s analýzami samy, nebo budou potřebovat odbornou pomoc, třeba od vás?
Asi opět záleží, jak kde. Nevylučuji, že tam, kde už nyní mají oddělení, které se problematikou kyberbezpečnosti zabývá, se dokážou přizpůsobit nové směrnici samy. Na druhou stranu jsou zde samozřejmě právní a technologičtí konzultanti či další odborníci, kteří mohou pomoci. Ti dokážou zkontrolovat nejen technologickou stránku věci, ale i tu právní, organizační či procesní část. Rozhodně ale už je čas dělat něco nyní, najít si kvalitní poradce, neboť tito budou s blížící se implementací rovněž velmi vytíženi.
Pokud firma zjistí, že musí splňovat směrnici, kolik ji budou opatření stát? A je jasné, že pro každou firmu to bude individuální, ale kolik to může stát například firmu o 100 zaměstnancích s obratem 100 milionů ročně?
Důležitá je ta počáteční analýza, která ukáže, kolik opatření se musí udělat. Záleží také na složitosti infrastruktury, navíc často půjde i o několikaměsíční proces. Analýzy NÚKIB uvádí, že zabezpečení jednoho systému může vycházet zhruba mezi 800 tisíci až 1,5 milionu korun. Zdůrazňuji ale, že to je čistě orientační údaj. Pokud nějaká společnost má už nyní propracovaný systém zabezpečení, tak možná nebude muset investovat skoro nic. Respektive ji něco bude stát analýza, kde si ověří, zda všechno, co by měla plnit, plní.
Pokud ale naopak někdo začíná skutečně od nuly a dopadne na něj tato legislativa plně, tak bude v úplně jiné situaci. V ten moment se náklady mohou pohybovat od řádu desítek tisíc korun až po stovky milionů u skutečně velkých firem. Vždy záleží rovněž i na složitosti infrastruktury. Nicméně nejde o vyhozené peníze, ale investice do rozvoje společnosti a jejího zabezpečení, nejen do splnění regulace.
V tuhle chvíli tady máme směrnici, která přesně určuje mantinely, co a jak. Nicméně chybí nám zákon o kybernetické bezpečnosti, kdy by měl být přijat? A proč ho vlastně potřebujeme, když v zásadě všechno je obsaženo v té směrnici?
Začnu od konce, my ten zákon určitě potřebujeme, protože směrnice z podstaty legislativního aktu je něco, co není pro subjekty přímo závazné. Tato směrnice tedy skutečně vyžaduje, aby stát prostřednictvím vlastních legislativních procedur implementoval to, co směrnice přikazuje, do svého právního řádu. Jinými slovy, přijetí nového zákona o kybernetické bezpečnosti je nutnost. I kvůli možným sankcím ze strany Evropské unie, pokud bychom ho v řádné lhůtě do října 2024 nepřijali.
Zákon sice ještě nemáme, ale chtěla bych pochválit český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který byl jeden z prvních, kdo začal na přípravě návrhu pracovat. Bylo to i důsledkem našeho předsednictví Evropské unie, kde kyberbezpečnost byla jedním z hlavních témat. Zhruba v prosinci 2022 byl přijat návrh směrnice NIS2 a už koncem ledna 2023 NÚKIB zveřejnil k připomínkám odborné veřejnosti návrh zákona a jeho prováděcích předpisů. Aktuálně u nás proběhlo meziresortní připomínkové řízení. V něm se sešlo poměrně hodně zásadních připomínek, především k bezpečnosti dodavatelského řetězce. Jde velmi zjednodušeně řečeno o to, že NÚKIB bude shromažďovat informace o dodavatelích do kritické infrastruktury. Tyto informace bude mít od samotných povinných subjektů či dalších institucí, jako jsou zpravodajské služby, různé další úřady státní správy, ministerstva. Pokud vyhodnotí tyto informace, že daný dodavatel představuje nějaké bezpečnostní riziko, bude mít pravomoc tohoto dodavatele zakázat pro dodávky do strategické kritické infrastruktury. NÚKIB nyní všechny připomínky zapracovává. Dalším krokem bude Legislativní rada vlády a pak půjde nový zákon do Poslanecké sněmovny.
Na jak dlouho tady máme NIS2, kdy můžeme čekat trojku?
Zajímavá otázka. Myslím si, že takovou pětiletku by mohla „vydržet“. Bude to souviset s vývojem technologií, žádné IT řešení není na 50 let, většinou ani na 10 let. Technologický vývoj jde stále kupředu, takže to, co bylo nejlepší zabezpečení ještě před pěti lety, je dnes už průměrné nebo spíše nedostatečné. Dovedu si tedy představit, že asi za těch pět let by mohlo dojít k nějaké úpravě rámce, asi se rozšíří počet požadavků, možná se bude týkat více subjektů.
Článek vznikl ve spolupráci s CCS Premium Trust.
