Co bude muset firma plnit, pokud ji zasáhne nZKB?

Regulované firmy budou muset plnit několik typů požadavků:

• V první řadě hlásit NÚKIBu kontaktní a doplňující údaje související s poskytováním regulované služby.

• Dále musí stanovit rozsah řízení kybernetické bezpečnosti. Zjednodušeně se jedná o jakousi formu deklarace, kdy si firma určí, na jaká data, informace a služby, vč. podpůrných technologií a služeb, bude aplikovat kyberbezpečnostní požadavky stanovené zákonem.

• Stěžejní je poté samotné plnění bezpečnostních opatření ve stanoveném rozsahu. Opatření jsou rozdílná pro režim nižších a vyšších povinností (rozepsáno níže).

• Regulované firmy také musí regulátorovi hlásit kybernetické bezpečnostní incidenty a pakliže NÚKIB uzná za vhodné, spolupracovat s regulátorem na zvládání incidentu. V nezbytných případech musí firmy o incidentech informovat také své zákazníky, uživatele (pokud na ně incident může mít dopad).

• Další z povinností je plnění tzv. “Protiopatření”, která vydává NÚKIB (může jím být např. varování před kyberhrozbami, reaktivní protiopatření apod.)

• Velkou míru pozornosti z mnoha stran pak sklízí požadavky na řízení dodavatelského řetězce a zajištění dostupnosti strategicky významných služeb.

V předchozím článku si můžete připomenout, na které typy subjektů novela kybernetického zákona dopadne.

Režimy regulace

Novela ZKB přináší v zásadě 2 režimy regulace:

• režim vyšších povinností (přísnější),

• režimu nižších povinností.

Firmy, které budou spadat do režimu vyšších povinností budou konkrétní požadavky na bezpečnostní opatření hledat ve vyhlášce o bezpečnostních opatřeních pro vyšší režim povinností. Tato vyhláška se dosti podobá současné vyhlášce o kybernetické bezpečnosti (Vyhláška č. 82/2018 Sb.).

Firmy, které budou spadat do režimu nižších povinností najdou konkrétní požadavky na bezpečnostní opatření ve vyhlášce o bezpečnostních opatřeních pro nižší režim povinností. Ta je, oproti vyhlášce pro vyšší režim, poměrně obecná a požadavky jsou popsány velice stručně.

Srovnání režimů regulace

Změny sankcí

V souvislosti s plněním povinností kybernetického zákona, je vhodné upozornit na sankce, které novela oproti původní verzi zákona, zvyšuje. Nově bude možné dostat pokutu až 250 mil. Kč nebo 2% z čistého celosvětového ročního obratu firmy nebo skupiny firem v režimu vyšších povinností. U režimu nižších povinností je hranice do 175 mil Kč nebo 1,4% z čistého celosvětového ročního obratu firmy nebo skupiny firem. To ale není vše, novela myslí i na nefinanční sankce jako pozastavení platnosti bezpečnostních certifikací nebo na pozastavení výkonu řídící funkce (statutárního orgánu).

V dalším díle se podíváme na typy povinných osob / firem, které pod novou kyberbezpečnsotní regulaci spadnou a budou se jí muset řídit.