Kyberbezpečnost podnikání čekají změny – připravte se na ně, mohou se týkat i vašeho podnikání!
Kyberbezpečnost podnikání je v poslední době velmi diskutované téma. I proto zákonodárci přišli s novými pravidly regulujícími tuto oblast, a to v podobě zákona o kybernetické bezpečnosti (ZKB), který se dotkne tisíců firem.
Novými povinnostmi podnikatelů pro kyberbezpečnost podnikání budou hlavně:
- prověřování dodavatelů a třetích stran,
- hlášení kybernetických incidentů, a
- nastavení interních směrnic a školení zaměstnanců.
Spolu s nimi přichází velké sankce až do 250 milionů korun.
Návrh zákona (ZKB) vláda schválila koncem července, a to v reakci na směrnici NIS2. Povinnosti však v návrhu stanovila o poznání přísněji, než vyžaduje směrnice. Nová právní úprava pravděpodobně zasáhne až 6000 českých organizací spolu s jejich dodavateli, a to i těmi zahraničními. Účinnost zákona očekáváme k lednu 2025, mnoho kroků tak doporučujeme podniknout již nyní.
Pozadí směrnice NIS2
S tím, jak kybernetické útoky nabývají na síle, přitvrzují i regulace. Hackerské útoky jsou v dnešní době nedílnou součástí manipulace veřejnosti, teroristických útoků a válek všude po světě. Proto EU v roce 2023 přistoupila k razantnějším opatřením v podobě směrnice NIS2, navazující na svou předchůdkyni z roku 2016, kterou vyhodnotila jako již nedostačující.
Směrnice především rozšiřuje okruh veřejných i soukromých organizací, pro které by pravidla měla platit. Také pro ně stanovuje režim nižších a vyšších povinností především dle velikosti organizace, případně na základě důležitosti odvětví, ve kterém organizace působí.
Od zpřísnění pravidel v oblasti kyberbezpečnost podnikání si EU slibuje dosažení minimálního standardu obrany proti hackerským útokům a dalším hrozbám v online prostoru. Vyžadovat tento standard musí všechny členské státy skrze svou vnitrostátní úpravu. Jak již jsme zmiňovali, ČR se ovšem rozhodla jít cestou ještě důslednější prevence, než jakou směrnice předpokládá.
Podívejme se tedy, jaké hlavní povinnosti pro kyberbezpečnost podnikání nám návrh ZKB přináší.
Prověřování dodavatelů
Nejdiskutovanějším bodem návrhu zůstávají povinnosti pro české organizace ohledně aktivního řízení bezpečnosti dodavatelského řetězce, které dosáhnou i za hranice. Země, ve které dodavatel působí, musí mít demokraticky zvolenou vládu respektující právní stát. Návrh zákona od samotných dodavatelů požaduje respektování hospodářské soutěže a dále na ně klade podmínku, aby nebyli terčem mezinárodních sankcí.
U nejkritičtějších služeb zákon zavede mechanismus prověřování dodavatelů. Garantem mechanismu bude NÚKIB, jehož cílem bude odhalování hrozeb pro bezpečnost ČR, kterou by dodavatel svým plněním mohl ohrozit.
Vyhodnotí-li mechanismus u dodavatele riziko, umožní nová pravidla v krajním případě vydání zákazu využití rizikového dodavatele. Zákon tuto pravomoc svěřil nakonec vládě, nikoli NÚKIB.
Otázka zavedení mechanismu je klíčová především pro odvětví telekomunikací, kde jako dodavatelé hojně figurují Huawei či ZTE, ohledně kterých NÚKIB v minulosti vydal varování.
Hlášení incidentů
Mezi povinnosti firem zavádět preventivní opatření pro kyberbezpečnost podnikání spadne i povinnost ohlašovat kybernetické incidenty, tedy události, které narušují chod dat či funkčnost služeb. Tyto incidenty se vždy ohlásí příslušnému týmu CERT a firmy o nich i o možných hrozbách taktéž informují své zákazníky.
Velká byrokracie a ještě větší sankce
Zákon též ukládá povinným organizacím nastavení interních pravidel, která zajistí jejich bezpečnost v online prostoru, např. stanovení konkrétních provozních postupů a rozsahu regulace. Organizace povinně s touto dokumentací seznámí své zaměstnance a zajistí jejich dostatečné proškolení. Vedení taktéž povinně ustanoví zaměstnance, kteří za kyberbezpečnost podnikání ve firmě odpovídají, a ty pověří veškerými povinnostmi, za jejichž neplnění mohou být i jako jednotlivci sankcionováni.
Je bezpochyby, že nastavení veškerých interních politik a postupů bude pro firmy velkou časovou a finanční zátěží, není však radno tyto povinnosti ignorovat. S návrhem ZKB přichází i zpřísnění sankcí, které dosáhnou i 250 milionů korun či až dvě procenta celosvětového ročního obratu firmy. A k tomu pořádkové pokuty až do 100 tisíc korun, které budou udělovány opakovaně do celkové sumy až 10 milionů korun.
Pomůžeme vám i v oblasti IT práva – nepodceňte kyberbezpečnost podnikání
Budou se vás nové povinnosti týkat a tápete v nastavení bezpečnostní dokumentace, interních směrnic či si nejste jistí dodržením požadavků na smlouvy s dodavateli? Soustředíme se na specifika podnikání klienta a dokážeme vytvořit dokumentaci, která bude na míru sedět jeho situaci a zároveň odpovídat zákonným požadavkům. V oblasti IT práva se orientujeme a dokážeme vám poradit, jaké kroky je možné učinit již nyní, před účinností zákona.
Neváhejte se na nás obrátit!
Autor: Mgr. Petr Uklein, vedoucí advokát advokátní kanceláře ModerniPravnik.cz, a Jonáš Melecký, právní asistent
#itpravo #kyberbezpecnost #kyberbezpecnostpodnikani #nis2 #smernice #eu #nukib #zakon #navrhzakona #kybernetickyutok #technologie #software #advokat