Uprostřed roku 2024 nastane zásadní změna v oblasti kybernetické bezpečnosti. Půjde o novinku, která významně dopadne na obrovské množství firem. Ty budou muset zcela jistě na pomoc povolat nejen IT specialisty, ale také právníky nebo experty na dodržování právních předpisů či firemních směrnic.

Co tuto revoluci odstartuje? Jde o zavádění evropské směrnice označené jako NIS2 do českého právního řádu. Směrnice bude součástí nové podoby zákona o kybernetické bezpečnosti a jeho dalších příslušných vyhlášek. Změna to bude opravdu významná, protože se bude podle odhadů týkat přibližně 6000 subjektů, které se doposud vůbec nemusely zákonnými povinnostmi v oblasti kyberbezpečnosti zabývat.

Nedávno jste již předplatné aktivoval

Je nám líto, ale nabídku na váš účet v tomto případě nemůžete uplatnit.

Pokračovat na článek

Tento článek pro vás někdo odemknul

Obvykle jsou naše články jen pro předplatitele. Dejte nám na sebe e-mail a staňte se na den zdarma předplatitelem HN i vy!

Navíc pro vás chystáme pravidelný výběr nejlepších článků a pohled do backstage Hospodářských novin.

Zdá se, že už se známe

Pod vámi uvedenou e-mailovou adresou již evidujeme uživatelský účet.

Děkujeme, teď už si užijte váš článek zdarma

Na váš e-mail jsme odeslali bližší informace o vašem předplatném.

Od tohoto okamžiku můžete číst neomezeně HN na den zdarma. Začít můžete s článkem, který pro vás někdo odemknul.

Na váš e-mail jsme odeslali informace k registraci.

V e-mailu máte odkaz k nastavení hesla a dokončení registrace. Je to jen pár kliků, po kterých můžete číst neomezeně HN na den zdarma. Ale to klidně počká, zatím si můžete přečíst článek, který pro vás někdo odemknul.

Pokračovat na článek

Důležité je rovněž dodat, že posílení kyberbezpečnosti je bezesporu krok správným směrem a určitě nejde o zbytečné nařízení. Jsem přesvědčena, že v době, kdy Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) pravidelně varuje, že se počet kybernetických útoků zvyšuje, mnohdy dokonce rekordně, je posílení bezpečnosti v tuzemských firmách nevyhnutelným krokem a dobrou zprávou nejen pro českou ekonomiku, ale i občany a celou společnost.

O co vlastně půjde a koho to nemine? Mezi předpokládanými šesti tisíci nově regulovanými subjekty najdeme zejména střední a velké firmy z nejrůznějších odvětví, od poskytovatelů online tržišť přes energetiku, dopravu, zdravotnictví až po potravinářství.

Evropská směrnice i český zákon stanoví opatření, která tyto subjekty budou muset dodržovat, a to ve dvou hlavních skupinách. Do první spadají bezpečnostní kroky, mezi které patří zajišťování minimální úrovně kybernetické bezpečnosti, rozdělení rolí, zavedení procesů ke zvládání kybernetických bezpečnostních situací a událostí nebo vedení dokumentace a řízení dodavatelů i přístupu.

Druhou skupinou jsou technická opatření, která zahrnují používání kryptografických algoritmů nebo zajišťování dostupnosti služby. Jsou rovněž stanovena i aktualizovaná pravidla týkající se lokalizace dat. Rozsah nových povinností se odvíjí od toho, zda bude daný subjekt spadat do režimu nižších či vyšších povinností.

Penále až čtvrt miliardy

Jedním z velkých a oprávněných strašáků nových pravidel pro kybernetickou bezpečnost je hrozba vysokých pokut a sankcí pro ty firmy, které své nové povinnosti nebudou plnit. Sankce mohou dosáhnout až astronomických 250 milionů korun nebo dvou procent z celosvětového čistého ročního obratu dané firmy. To skutečně není zanedbatelné riziko. Z mé praxe a dennodenního kontaktu s tuzemskými firmami – nebo těmi globálními, které u nás podnikají – naštěstí vyplývá, že si tuto hrozbu plně uvědomují a nechtějí zbytečně riskovat tyto enormní pokuty.

Díky podcastu Bruselský diktát pochopíte, že pro nás Čechy má mnohem větší význam dění v Evropě než v Praze a v Česku vůbec. Celé díly poslouchejte na

Zvýšenou odpovědnost také ponesou nejvyšší šéfové. Statutární orgány (např. jednatelé společnosti s ručením omezeným nebo představenstvo v akciové společnosti) by měly implementaci požadavků zakotvených v nové regulaci věnovat zvláštní pozornost, protože na ně navrhované znění zákona vrhá odpovědnost za přijetí požadavků směrnice NIS2 a ZKB. Do působnosti statutárního orgánu bude také svěřeno zajišťování bezpečnostních politik, informování zaměstnanců, podílení se na vypracovávání analýz nebo přijímání bezpečnostních opatření.

NÚKIB bude disponovat pravomocí provádět kontroly a nařídit nápravná opatření, pokud nebude daná firma plnit své povinnosti. V případě, kdy je bude daný subjekt ignorovat, může dokonce soud osobám, které vykonávají řídící funkce – například ve zmíněných statutárních orgánech –, dokonce zakázat tyto funkce vykonávat, a to po dobu nejméně šesti měsíců.

Tato důležitá změna znamená jediné: nejvyšší vedení firem a vrcholoví manažeři musí brát kybernetickou bezpečnost vážně a investovat do potřebných školení či implementací – samozřejmě jen v případech, kdy zmíněné požadavky na kyberbezpečnost ještě nesplňují. Řada firem totiž v posledních letech nelenila a o svou bezpečnost se poctivě starala, aniž je k tomu někdo musel tlačit. Tyto podniky tak mají prakticky hotovo a NIS2 je proto ze židle nezvedá.

Klíč k NIS2? Spolupráce

Žijeme v globalizovaném a stále se měnícím světě, který klade čím dál větší nároky nejen na jednotlivce, ale právě i na firmy. Směrnice NIS2 a návrh nového ZKB jsou poměrně rozsáhlé, a proto nemohou být pouhým projektem pro IT oddělení. Regulace vyžaduje komplexní přístup zahrnující nejen technické, ale i procesní a právní aspekty.

Když se mě zástupci firem ptají, jak zajistit řádnou implementaci nové směrnice i zákona, tak jim často říkám, že nejúčinnější cestou je spolupráce – konkrétně vytvoření multidisciplinárního týmu, kde budou nejen IT experti, ale i právníci a compliance specialisté. Takový one-stop-shop totiž firmě zajistí efektivní, pružné a dobře zvládnuté přijetí NIS2 a ZKB.

Dobře vybraný implementační tým podniku navíc pomůže s řízením dodavatelů, firemní governance nebo analýzou rizik. Zároveň umí vyhodnotit dopady do veškeré dokumentace, ať už smluvní, či do vnitřních předpisů, a případně je upraví. Posoudí i komplementaritu neboli soulad s dalšími předpisy, které se na danou společnost vztahují. Čistě IT specialisté zase připraví technologické řešení a posoudí jeho dopady na veškeré dotčené technologie a systémy.

Kybernetická bezpečnost tak není pouze technologickou výzvou; je to otázka společného úsilí a správného vedení. A proto by firmy – ve svém vlastním zájmu – měly tuto výzvu přijmout a začít se připravovat na novou éru kybernetické bezpečnosti, která se blíží rychleji, než si možná myslíme.

Autorka je partnerkou a vedoucí oddělení digitálního práva v advokátní kanceláři Deloitte Legal

Baví vás číst názory chytrých lidí? Odebírejte newsletter Týden v komentářích, kde najdete výběr toho nejlepšího. Pečlivě ho pro vás každý týden sestavuje Jan Kubita a kromě jiných píší Petr Honzejk, Julie Hrstková, Martin Ehl a Luděk Vainert.