Nové povinnosti v kybernetické bezpečnosti pro velké a středně velké organizace: týká se to i Vás?
O kybernetické bezpečnosti jsme slýchávali hlavně ve zprávách o hackerských útocích, vedení moderních válek nebo geniálních mladících ruské národnosti, vydávaných do USA. To se nyní radikálně mění.
Je možné, že v tomto měsíci – dubnu projde třetím čtením v Poslanecké sněmovně návrh nového zákona o kybernetické bezpečnosti (NZKB), který implementuje v českém právu směrnici EU s názvem NIS2. Pokud by se tak stalo, budou moci být dokončeny návrhy prováděcích vyhlášek k zákonu a celý nový zákon by mohl začít platit od 1. ledna 2026. NIS2 byla přijata v roce 2022 a měla být transponovaná do práva členských států EU již ke konci minulého roku. V řadě států EU včetně České republiky však došlo ke zpožďování legislativního procesu z důvodu obtížnosti a rozsahu NIS2. NIS2 totiž přináší opravdu široký právní rámec vkybernetické bezpečnosti napříč organizacemi.
Velké množství tuzemských organizací v soukromé i veřejné sféře by tedy mohlo mít brzy zcela jasno o podobě nové legislativy, která se na ně bude nově vztahovat – odhaduje se, že nově se budou povinnosti podle NZKB vztahovat na desítky tisíc organizací v ČR, působících ve 22 odvětvích a poskytujících více než 100 regulovaných služeb, zatímco nyní se povinnosti podle stávajícího zákona o kybernetické bezpečnosti vztahují na přibližně desetkrát méně nejkritičtějších (pro kybernetickou bezpečnost v ČR) subjektů. To, zda se NZKB na vaší organizaci vztahuje, si můžete sami zjistit na šikovné jednoduché kalkulačce národního regulátora pro oblast kybernetické bezpečnosti – Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
Již nyní je možné se seznámit s naprostou většinou povinností podle NZKB. Velmi doporučuji navštívit portál NÚKIB, který je dobře vedený a pravidelně aktualizovaný.
Aktuální verze NZKB a vyhlášek (po 2. čtení) je veřejně k dispozici na stránkách Poslanecké sněmovny: Sněmovní tisk 759/0. Jsou k dispozici i navrhované pozměňovací návrhy (Sněmovní tisk 759/9). Pozměňovací návrhy se týkají jen v menším rozsahu povinností dotčených organizací a tedy většina dotčených organizací se již nyní může podrobně seznámit s tím, co je čeká. Přestože NZKB začne platit asi nejdříve od nového roku a přestože NZKB bude obsahovat více než roční lhůtu na implementaci hlavních povinností, je třeba začít přípravu na implementaci nových povinností okamžitě, pokud jste ještě nezačali. Důvodem je velký rozsah povinností, jejichž splnění vyžaduje množství kroků a dlouhou dobu potřebnou k jejich provedení. Jakmile navštívíte portál NÚKIB, dáte mi za pravdu.
Ve stručnosti si každá organizace bude muset udělat pořádek ve svých aktivech, s důrazem na datová aktiva. Těmto aktivům bude muset přiřadit rizika a s aplikací zásady přiměřenosti bude muset vybrat odpovídající souhrn bezpečnostních opatření pro minimalizaci rizik. Přijatá bezpečnostní opatření bude muset pravidelně kontrolovat a vyhodnocovat kvůli potřebě neustálé aktualizace. Last but not least, bude muset provádět pravidelná školení prakticky všech svých pracovníků, zejména těch, kteří budou mít podle NZKB konkrétní role pro zajišťování kybernetické bezpečnosti. Toto vše přitom nebude možné dělat jen formalisticky, protože dotčené organizace budou kontrolovány NÚKIB a hrozí velmi vysoké sankce, jejichž maximální výše je příliš astronomická pro můj krátký článek.
NZKB obsahuje dva režimy povinností, dělítkem je velikost organizace, počítaná podle pravidel zavedených v EU, tedy se sčítáním velikostí podniků v rámci mezinárodní skupiny. Velké organizace budou mít podle NZKB opravdu rozsáhlé systematické povinnosti v kybernetické bezpečnosti, středně velké organizace mají výrazně nižší rozsah povinností. Nicméně existují i malé a mikro organizace, které se mohou dostat do režimu vyšších povinností, pokud to bude nezbytné pro ochranu veřejného zájmu. Konkrétní povinnosti pro oba režimy budou podrobně uvedené ve zmíněných prováděcích vyhláškách k NZKB.
Pro režim vyšších povinností bude NZKB obsahovat 14 rámcových povinností pro tzv. organizační opatření kybernetické bezpečnosti (např. stanovení rozsahu řízení kybernetické bezpečnosti, bezpečnostní role, požadavky na vrcholné vedeni, řízení aktiv, řízení rizik, řízení dodavatelů, zvládání událostí a incidentů aj.). Vyšší režim dále přináší povinnost implementovat 11 rámcových technických opatření, např. řízení přístupových oprávnění, zaznamenávání událostí, aplikační bezpečnost, zajišťování dostupnosti regulované služby aj.
V režimu nižších povinností pak bude 11 rámcových povinností bez rozdělení na organizační a technická opatření (např. zajištění minimální úrovně kybernetické bezpečnosti, požadavky na vrcholné vedení, řízení identit a jejich oprávnění, řešení incidentů aj.).
Pro zavádění všech povinností přitom platí zmíněná zásada přiměřenosti – NZKB a vyhlášky nepředepisují přesně, jaká bezpečnostní opatření má příslušná organizace zavést, ale přinášejí něco jako doporučený katalog, z něhož si organizace má zvolit odůvodněná opatření, odpovídající rizikům a zdrojům které má organizace k dispozici. Organizace si také může zvolit jiné opatření než to uvedené ve vyhláškách, musí si to však dostatečně odůvodnit.
Je zcela zřejmé, že dotčené organizace musí vyvinout aktivní úsilí a také často vysoké náklady, aby se postupně dostaly do souladu s NZKB.
