Směrnice NIS2 dopadá primárně na členské státy, ne na firmy!

Kyberbezpečnostní EU směrnice NIS2 (Směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v EU) primárně nedopadá na firmy, ale na jednotlivé členské státy, které musí implementovat její požadavky do svých zákonů. Cílem směrnice je, mimo jiné, sjednotit regulatorní požadavky na kybernetickou bezpečnost v rámci EU. V případě ČR, se jedná o kybernetický zákon. Ten musí projít novelizací, aby reflektoval požadavky zmíněné směrnice.

Novela kybernetického zákona kvůli NIS2

Prakticky tedy NIS2 dopadne na firmy až tehdy, jakmile bude promítnuta v novele kybernetického zákona. Předpokládá se, že tomu tak bude nejpozději v říjnu 2024. To ale neznamená, že od tohoto data budou muset firmy plnit všechny zákonem stanovené povinnosti. Zákon bude stanovovat jistá přechodná období, regulované firmy tedy budou mít na splnění povinností více času.

To, co se na základě požadavků NIS2 změní v kyberzákoně, z hlediska dopadu na firmy, je v zásadě rozsah a dopad regulace. Nově budou pod kybernetický zákon spadat firmy, které dosud tímto zákonem regulovány nebyly. Současně účinný kybernetický zákon totiž reguluje přibližně jen do 500 organizací. Nově to může být více než 10.000 organizací. Tyto nově regulované organizace pak budou muset plnit zákonem definovaná bezpečnostní opatření a spolupracovat s regulátorem, což je v případě kybernetického zákona Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

Zdroje, které by se mohly hodit:

• EU Směrnice NIS2 - EUR-Lex - 32022L2555 - EN - EUR-Lex

• Návrh novely ZKB - https://odok.cz/portal/veklep/material/ALBSCSSFKU7S/

• Oficiální web k NIS2 od NÚKIB - https://nis2.nukib.cz

Na které firmy bude novela kybernetického zákona (nZKB) dopadat?

Zatímco v současnosti pod regulaci kybernetického zákona spadají, z hlediska dopadu na stát a společnost, jen ty nejkritičtější organizace, provozující zejména kritickou informační infrastrukturu státu, novela na základě směrnice NIS2 rozsah značně rozšíří.

Kritická informační infrastruktura (KII) - kritická infrastruktura definovaná krizovým zákonem, jejíž provoz je závislý na informačních a komunikačních systémech.

Novela kybernetického zákona stanoví seznam v budoucnu regulovaných služeb a kritérií, kdy takové služby spadají pod kyberbezpečnostní regulaci, ty jsou rozděleny do jednotlivých odvětví a budou uvedeny v nové “Vyhlášce o regulovaných službách”.

Vyhláška regulované služby na základě kritérií rozděluje do dvou režimů regulace, do režimu vyšších povinností a do režimu nižších povinností.

Odvětví regulovaných služeb podle novely kybernetického zákona:

1. Veřejná správa

2. Energetika (Elektřina, Ropa a ropné produkty, Plynárenství, Teplárenství, Vodík)

3. Výrobní průmysl

4. Potravinářský průmysl

5. Chemický průmysl

6. Vodní hospodářství

7. Odpadové hospodářství

8. Doprava (Letecká doprava, Drážní doprava, Vodní doprava, Silniční doprava)

9. Digitální infrastruktura a služby

10. Finanční trh

11. Zdravotnictví

12. Věda a výzkum

13. Poštovní a kurýrní služby

14. Vojenský průmysl

15. Vesmírný průmysl

K tomu, aby firmy pod regulaci spadaly, musí být splněny v zásadě 2 podmínky. Firma musí poskytovat alespoň jednu službu v regulovaném odvětví a zároveň musí být středním nebo velkým podnikem (tedy má 50 a více zaměstnanců, nebo dosahuje ročního obratu nebo bilanční sumy roční rozvahy alespoň 250 milionů Kč). Pozor, je li firma součástí uskupení firem, do velikosti se to musí zohlednit, NÚKIB ke stanovení velikosti podniku zveřejnil i řadu podpůrných materiálů. Oficiální informace můžete nalézt na webu NIS2.nukib.cz.

Pozn.: NÚKIB však v určitých případech může pod regulaci určit i jinou společnost a to za specifických podmínek (např. kritičnost pro stát, obyvatelstvo).

Pod nový kybernetický zákon také spadnou subjekty, které budou regulovány na základě jiné EU regulace, CER. Na základě CER vznikne v ČR nový krizový zákon.