Od listopadu platí nová pravidla kyberbezpečnosti, dotknou se tisíců firem

Tisíců firem se dotkne zákon o kybernetické bezpečnosti, který nabyde účinnosti na začátku listopadu. Odpovědnost navíc bude nově na managementu společností.

Nový zákon o kyberbezpečnosti už od listopadu

Na začátku listopadu nabyde účinnosti nový zákon o kybernetické bezpečnosti, který výrazným způsobem rozšiřuje okruh regulovaných subjektů. Nově se povinnosti v oblasti kybernetické bezpečnosti budou týkat nejméně 6000 organizací napříč obory, přičemž tisíc z nich bude z veřejného sektoru a minimálně pět tisíc bude firem. Cílem nového zákona je zvýšit odolnost českých společností a organizací vůči kybernetickým hrozbám. Zároveň zákon zavádí zodpovědnost členů statutárních orgánů za to, že jejich společnosti splní nové povinnosti.

Firmy předně musí provést samoidentifikaci a ověřit, zda spadají do vyššího či nižšího režimu povinností. Pro tento účel Národní úřad pro kybernetickou bezpečnost (NÚKIB) zveřejnil průvodce a kalkulačku dostupnou na portálu NÚKIB.

Koho se zákon týká

Dle zákona nicméně platí, že podmínky pro registraci regulované služby jsou splněny v případě, že jde o službu, která je významná pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice, v některém z těchto odvětví:

1. veřejná správa a výkon veřejné moci,
2. energetika,
3. výrobní průmysl,
4. potravinářský průmysl,
5. chemický průmysl,
6. vodní hospodářství,
7. odpadové hospodářství,
8. doprava,
9. digitální infrastruktura a služby,
10. finanční trh,
11. zdravotnictví,
12. věda, výzkum a vzdělávání,
13. poštovní a kurýrní služby,
14. obranný průmysl,
15. vesmírný průmysl a

poskytovatel služby je středním nebo velkým podnikem ve smyslu doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků nebo je významný pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice.

V souladu se zmíněním doporučením je stanoveno, že:

• malý podnik má maximálně 50 zaměstnanců a obrat nebo rozvahu nepřesahující 10 milionů EUR
• střední podnik má maximálně 250 zaměstnanců, obrat nepřesahující 50 milionů EUR a rozvahu nepřesahující 43 milionů EUR

Zároveň byla vydána vyhláška, která přesně definuje seznam služeb, kterých se zákon týká, a vymezení podmínky významnosti poskytovatele.

Co udělat, pokud se vás zákon týká?

Jestliže se vás zákon týká, musíte do 60 dnů od nabytí jeho účinnosti ohlásit poskytování regulované služby prostřednictvím portálu NÚKIB. Po registraci pak máte

• 30 dní pro doplnění kontaktních údajů a
• 12 měsíců pro implementaci bezpečnostních opatření.

Tresty hrozí i manažerům

Firma dále musí stanovit odpovědnou osobu pro komunikaci s NÚKIB a v případě vyššího režimu jmenovat manažera kybernetické bezpečnosti. Za dohled nad celkovou úrovní kyberbezpečnosti nese osobní odpovědnost vrcholový management. V případě porušení pravidel hrozí členům statutárních orgánů mimo jiné osobní odpovědnost za způsobenou škodu či nemajetkovou újmu, ručení věřitelům za dluhy společnosti, ale i vyloučení z funkce a zákaz jejího výkonu nejméně po dobu 6 měsíců, komentoval Zdeněk Kučera z advokátní kanceláře Dentons.

Musíte provést i analýzu rizik

Zákon rovněž stanoví povinnost provést analýzu rizik, zavést systém řízení bezpečnosti informací (ISMS) a nastavit procesy pro detekci a hlášení incidentů:

• předběžná zpráva do 24 hodin,
• rozšířené oznámení do 72 hodin,
• závěrečná zpráva do 1 měsíce.

Firmy musí také zohlednit bezpečnostní požadavky na dodavatele, pravidelně školit zaměstnance, implementovat technická opatření (např. MFA, segmentace sítí, šifrování, logování) a vést přehlednou dokumentaci o přijatých krocích.

Pokud společnost poruší povinnosti dané zákonem, může dostat pokutu až 250 milionů Kč nebo 2 % čistého celosvětového obratu (v nižším režimu až 175 milionů Kč nebo 1,4 %).