Nový kybernetický zákon bude regulovat desetkrát více subjektů, říká Ladislav Suk z Vodafonu

Ladislav Suk, Vodafone

Ladislav Suk, Vodafone Zdroj: e15 Michaela Szkanderová

Dojde-li včas na schválení zákona, který implementuje směrnici ke kybernetické bezpečnosti NIS2 (Network and Information Security 2), budou se muset dotčené subjekty zřejmě hned po Novém roce 2025 začít registrovat u Národního úřadu pro kybernetickou a informační bezpečnost. Podle Ladislava Suka z Vodafonu jich bude kolem šesti tisíc a zjistit, zda se jich regulace týká a v jakém režimu, nebude podle něj vůbec snadné.

Blíží se poměrně přelomová směrnice ke kybernetické bezpečnosti NIS2. Co to pro vás znamená?

Ve Vodafonu máme výhodu, že už jsme subjektem kritické infrastruktury i kritické informační infrastruktury, takže musíme plnit podmínky kybernetického i krizového zákona už řadu let. Subjekty jako Národní úřad pro kybernetickou a informační bezpečnost – NÚKIB nás pravidelně kontrolují a auditují. Takže je to pro nás pokračování a rozšíření stávající situace.

Přicházejí ale novinky, kterým se budeme muset přizpůsobit. Třeba způsob hlášení incidentů. Také se regulace dotkne většího množství našich služeb. Kromě toho se nás na směrnici ptají někteří naši zákazníci.

Legislativní proces se trochu zpomalil. V jaké je aktuálně fázi?

NÚKIB začal v lednu 2023 s veřejnými konzultacemi k transpozici NIS2 do zákona o kybernetické bezpečnosti, za což zaslouží velké poděkování. Připomínek přišlo celkově přes tisíc ze 117 různých míst, včetně mnoha od nás. Od března do podzimu se s nimi úřad vypořádával, aby v lednu přišel s novým návrhem zákona. Letos v dubnu k němu napsala legislativní rada vlády připomínky, s nimiž se teď úřad vyrovnává. Tím pádem se nestihne původní termín k implementaci, která měla proběhnout během října. Namísto toho je cílem stihnout přijetí do konce roku.

A bude to revoluce?

To se ještě ukáže. Jak jsem už říkal, k návrhu existuje řada připomínek a uvidíme, jak to s nimi dopadne. Především jde o mechanismus prověřování bezpečnosti dodavatelského řetězce a prověřování rizik spojených s dodavatelem, který schvalování zdržuje nejvíce.

Revoluce ale každopádně bude v obrovském rozšíření subjektů, kterých se regulace dotkne. Dnes je jich mezi čtyřmi až pěti sty, ovšem očekávání je takové, že teď jich bude více než šest tisíc. Může se přitom ještě stát, že některé tyto subjekty budou muset přenášet povinnosti na své dodavatele. Čímž onen počet ještě dál obrovsky naroste. Navíc firmy, které by se jinak do regulace nedostaly, tam mohou spadnout kvůli propojenosti podniků. Podle návrhu se chystaná regulace dotkne dvaceti dvou odvětví a 106 služeb.

Když do toho někdo spadne, jak začít?

Pokud by nastala účinnost skutečně s koncem roku a od nového roku 2025 bude nutné začít plnit první povinnosti, tak se všechny dotčené firmy budou muset zaregistrovat. Takže už teď je třeba se rozhlédnout, zda se mě to netýká. Aby to nebylo jednoduché, tak některé služby poskytované konkrétní společností pod to spadnout mohou, jiné ne. Rozhodující je odvětví, poskytovaná služba a ve většině případů také velikost firmy. To vše určuje, zda budete zařazeni do nižšího nebo vyššího režimu regulace. Takže moc času už není a podle mě je potřeba najít si někoho, kdo se ve bezpečnosti a regulaci dlouhodobě orientuje.

Na samotnou implementaci, která může zahrnovat stovky povinností, pak bude pouhý rok času. Najít na to partnera, který vám pomůže, nebude asi jednoduché. Proto si myslím, že je dobré hledat někoho, kdo už s tím má reálnou zkušenost, kdo to zná z praxe. Může být i výhodou, pokud má produkty, jejichž implementace pomůže opatření plnit. U nás třeba mohu zmínit řešení na ochranu firemní sítě a koncových zařízení, ochranu cloudových aplikací, penetrační testy, DDoS ochranu a zabezpečení IT infrastruktury… ale nejdřív je třeba identifikovat, zda se mě to týká, kde mám slabá místa a v jakém budu režimu regulace.

Tento článek je součástí balíčku PREMIUM.

Odemkněte si exkluzivní obsah a videa!