Nový zákon o kybernetické bezpečnosti, který má nabýt účinnosti v druhé polovině roku 2024, dopadne minimálně na 6000 firem a dalších subjektů v České republice
Odpovídá zabezpečení ve Vaší společnosti směrnici NIS 2 ? V opačném případě se vystavujete riziku vysokých pokut a popřípadě sankce v podobě pozastavení výkonu řídicí funkce člena statutárního orgánu společnosti.
Vyhněte se sankcím a pojďme společně nastavit zabezpečení informačního systému, smlouvy, vnitřní předpisy, procesy a bezpečnostní role ve Vaší firmě tak, aby odpovídaly požadavkům směrnice NIS 2 a novele zákona o kybernetické bezpečnosti.
Zavedení systému pro řízení kybernetické bezpečnosti je v zájmu každého podnikatele. Správné nastavení kybernetického zabezpečení ochrání Vaši společnost, vyhoví novým zákonným požadavkům, ochrání před případnými kybernetickými útoky, umožní udržet či rozšířit okruh Vašich odběratelů, neboť někteří již vyžadují nebo začnou vyžadovat po svých obchodních partnerech adekvátní zabezpečení.
Nový zákon počítá s tzv. samoidentifikací. To znamená, že organizace sama posoudí naplnění kritérií proto, kde je poskytovatelem regulované služby, a pokud je naplňuje, provede svou registraci u NÚKIB. Tímto prvotním testem musí projít na počátku každá společnost, aby zjistila, jaká úroveň povinností na ni dopadá. V návaznosti na to provede bezpečností opatření směřující k zajištění požadované úrovně kybernetické bezpečnosti.
Jsme advokátní kancelář zaměřená na softwarové právo. Máme hluboké znalosti z oblasti IT technologií a bohaté právní zkušenosti z této oblasti. Spolupracujeme s předními IT odborníky.
Rádi za Vámi přijedeme a probereme všechny důležité aspekty naší činnosti.
Zanalyzujeme stávající stav, navrhneme odpovídající bezpečností opatření a provedeme společně s Vámi jeho implementaci.
Jelikož je problematika kybernetické bezpečnosti řešena formou směrnice ES (a nikoli o nařízení jako tomu bylo nedávném v případě oblasti ochrany osobních údajů – GDPR), je třeba, aby byla problematika v ní upravená transponována do právních řádů členských zemí. Směrnice NIS 2, publikovaná ke konci roku 2022 tedy nemá přímý dopad na obchodní společnosti a další subjekty v České republice. Změny, které přináší, nastanou až teprve s účinností nového zákona o kybernetické bezpečnosti. To se má stát podle plánu v druhé polovině roku 2024.
Směrnice, resp. nový připravovaný zákon o kybernetické bezpečnosti, je založen na tom principu, že upravuje institut poskytovatele regulované služby, na kterou se budou vztahovat nové povinnosti a pochopitelně i nové sankce.
Mechanizmus je takový, že každá společnost musí sama zjistit, zda je poskytovatelem regulované služby, tedy pro jakou činnost, kterou vykonává, se na něho regulace vztahuje a sám se musí nahlásit Národnímu úřadu pro kybernetickou bezpečnost (NÚKIB) do evidence.
Existují dva okruhy povinností, které musí takový poskytovatel regulované služby splňovat, a sice režim vyšších povinností a režim nižších povinností, přičemž každý poskytovatel spadá jen pod jeden režim.
Kdo je regulován
Nový zákon počítá s tzv. samoidentifikací. To znamená, že organizace sama posoudí naplnění kritérií proto, zde je poskytovatelem regulované služby, a pokud je naplňuje, provede svou registraci u NÚKIB.
Výčet regulovaných činností bude uveden ve vyhlášce o regulovaných službách. Každý subjekt bude muset zhodnotit, zda poskytuje regulovanou službu. Pokud zjistí, že ano, pak bude muset dále prověřit, zda se zde uplatní další dodateční podmínky či nikoliv. Pro služby např. v oblasti elektronických komunikací, které jsou ze strany státu považovány za natolik významné, platí, že do regulovaných služeb spadají všichni poskytovatelé bez výjimky. Pokud jde z pohledu kybernetické bezpečnosti o méně významné obory (typicky chemický průmysl), uplatní se zde dodatečná podmínka velikosti firmy. Kritérium velikosti firmy se pak posuzuje podle počtu zaměstnanců a obratu.
Další postup společnosti spadající do oblasti regulovaných činností
Jakmile společnost zjistí, že splňuje kritéria podle nového zákona o kybernetické bezpečnosti, resp. navazující vyhlášky, je potřeba provést registraci u NÚKIB, a to do 90 dnů od nabytí účinnosti zákona.
Po registraci NÚKIB oznamovateli potvrdí a od tohoto okamžiku začnou společnosti běžet zákonné lhůty pro splnění zákonných povinností, tedy pro zavedení příslušných bezpečnostních opatření.
Bezpečnostní opatření
Zákon stanovuje dva režimy, a to tzv. režim vyšších povinností a režim nižších povinností. V návaznosti na režim regulované činnosti je třeba, aby společnost provedla příslušná bezpečnostní opatření. Bezpečnostní opatření budou upravena dvěma vyhláškami, a to vyhláškou upravující bezpečnostní opatření pro poskytovatele regulované služby v režimu vyšších povinností a vyhláškou, a to vyhláškou upravující bezpečnostní opatření pro poskytovatele regulované služby v režimu nižších povinností.
Jde o opatření směřující k zajištění určité úrovně kybernetické bezpečnosti, v rámci kterého se stanoví určité povinnosti pro vrcholové vedení společnosti, určí se jednotlivým zaměstnancům bezpečnostní role, stanoví se pravidla pro řízení dodavatelů, zajistí se fyzická bezpečnost zařízení a komunikačních sítí, stanoví se pravidla pro ověřování identit administrátorů a uživatelů, stanoví se pravidla pro zvládání kybernetických bezpečnostních událostí a incidentů atd.
Kontrola a sankce
Splnění povinností podle zákona a prováděcích předpisů budou u poskytovatelů služeb v režimu vyšších povinností provádět zaměstnanci NÚKIB. Poskytovatelé regulovaných služeb v režimu nižších povinností bude pravidelně prováděna primárně ze strany tzv. inspektorů, které si sama společnost bude povinna obstarat a zajistit.
Za přestupky spojené s porušováním povinností, mohou následovat výrazné sankce.
Poskytujeme právní služby pro oblast softwarového práva. Právní poradenství poskytujeme i v anglickém a německém jazyce.