Nejčastější chyby při samoidentifikaci dle nové kyberlegislativy

Směrnice NIS2 a její zavedení do české legislativy se rychle blíží. Předpokládá se, že návrh nového zákona o kybernetické bezpečnosti bude platný již v polovině roku 2025.

První klíčovou povinností podle nového zákona je se samoidentifikovat, tedy zjistit, jestli bude vaše společnost regulovaným subjektem. Již v tomto bodě však mnoho podnikatelů tápe, a proto se podíváme na nejčastější chyby a jak se jich ideálně vyvarovat.

Ilustrační fotografie

Chyba č. 1: Nevím, že mám nějakou sebeidentifikaci vůbec udělat

Přestože Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) dělá v této oblasti osvětu na velmi vysoké úrovni, stále najdeme společnosti, ke kterým se plánovaná novinka v jejich povinnostech nedostala. Množství všech regulací pro společnosti je obrovské, ale jak tvrdí známý právní princip: neznalost zákona neomlouvá.

Směrnice NIS2 rozšířila počet regulovaných subjektů z cca 360 na odhadovaných 12–15 000 v Česku a 10 000 subjektů na Slovensku. Předpokládaný nárůst je tedy dramatický a šance, že na vás nový zákon dopadne, je tak docela vysoká.

Proč je samoidentifikace vlastně tak klíčová po vinnost? Pokud byste byli regulovaným subjektem a neohlásili se na NÚKIB, dopustíte se přestupku. A protože NÚKIB se na toto jednání dívá tak, že se chcete vyhnout svým povinnostem, může za něj uložit ty nejvyšší pokuty 250 milionů korun nebo až 2 % čistého celosvětového ročního obratu podniku, a to podle toho, která částka je vyšší).

Chyba č. 2: Nepochopení regulovaných služeb

Návrh nové legislativy bude dopadat na společnosti, které poskytují službu z regulovaného odvětví a naplňují další kritéria. Regulované služby jsou významné pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost a jsou z 15 různých odvětví.

Jedná se o tato odvětví: veřejná správa a výkon veřejné moci; energetika; výrobní průmysl; potravinářský průmysl; chemický průmysl; vodní hospodářství; odpadové hospodářství; doprava; digitální infrastruktura a služby; finanční trh; zdravotnictví; věda, výzkum a vzdělávání; poštovní a kurýrní služby; obranný průmysl; vesmírný průmysl.

    Ilustrační fotografie

    Zní to poměrně jednoduše, a pokud tedy nedělám nic v těchto odvětvích, nemusím novou kybernetickou legislativu vůbec řešit? Chyba. Pořád se na vás může vztahovat jedna z výjimek uvedených v zákoně.

    Další a mnohem častější chybou, kterou společnosti dělají, je, že zaměňují svou hlavní činnost s odvětvími regulované služby. Nový zákon se však nezajímá jen o činnosti, které jsou vaším klíčovým byznysem, ale o vše, co děláte.

    Můžeme si to uvést na příkladu, kdy společnost vyrábí třeba hračky pro domácí mazlíčky. Firma si ověřila, že výrobní průmysl se na tuto výrobu nevztahuje, a tak udělala závěr, že se na ni regulace nebude vztahovat. To by pak ale nebyl dobrý příklad, kdyby to byl konec příběhu. Jenže tato společnost má dceřinou společnost, která šije oblečky pro psy, a mateřská společnost ji spravuje celé jejich IT, přičemž jí tyto služby následně i fakturuje. Toto ji už klasifikuje do odvětví digitální infrastruktury a služeb, konkrétně by mohla poskytovat regulovanou službu poskytování řízené služby (MSP) či poskytování řízené bezpečnostní služby (MSSP). Nezáleží na tom, že poskytování IT služeb není její hlavní činností.

    Společnosti musí identifikovat všechny regulované služby, které poskytují, ať se jedná o jejich hlavní činnost, nebo nikoliv. Zamyslete se nad všemi svými aktivitami, přestože vám na první pohled vůbec nepřipadají důležité. A nezapomeňte, regulovaných služeb můžete poskytovat i více a nahlásit musíte všechny.

    Chyba č. 3: Špatné určení velikosti podniku

    Kromě činnosti v regulovaných odvětvích je dalším typickým kritériem velikost podniku. Pokud byste vykonávali činnost v rámci regulovaného odvětví, ale nenaplnili potřebnou podmínku požadované velikosti, nový kybernetický zákon na vás dopadat nebude.

    Kancelář plná lidí, Ilustrační fotografie
    Ilustrační fotografie

    Ani v tomto případě však nezapomínejme na výjimky a další kritéria bez ohledu na velikost. Velikost subjektu se počítá podle doporučení Komise 2003/361/ES, které definuje mikropodniky, malé, střední a velké podniky. Posouzení podniku vychází buď ze zaměstnaneckého, nebo z finančního ukazatele.

    Malé společnosti mají maximálně 49 zaměstnanců, střední 50 až 249 a velké 250 a více. Problém nastává v tom, že do počtu zaměstnanců se musí zohlednit i takzvané „relevantní vazby mezi majetkově spřízněnými organizacemi“. Co to znamená? Například to, když jste dceřinkou velké společnosti nebo součástí holdingu. V těchto případech se totiž jedná o zmíněnou majetkovou spřízněnost a do celkového počtu zaměstnanců se započítávají i zaměstnanci dceřiných, sesterských či mateřských společností. A to buď v plné míře, nebo poměrně podle míry majetkové spřízněnosti. Společnost s 10 zaměstnanci se tak díky své mateřské společnosti může stát i velkým podnikem, protože v souhrnu bude mít více než 250 zaměstnanců.

    Do návrhu kybernetického zákona byla v květnu letošního roku vložena nová výjimka pro tyto majetkově propojené společnosti. Ta říká, že za partnerský nebo propojený podnik se nepovažují osoby, jejichž technická aktiva jsou zcela oddělena od technických aktiv, jež používá posuzovaná osoba při poskytování regulované služby. Dle důvodové zprávy by se mělo typicky jednat o situace investování do startupů. Jak to s touto výjimkou však dopadne, si ale budeme muset počkat do konce legislativního procesu.

    Chyba č. 4: Zmatek v režimech regulovaných služeb

    Když se sebeidentifikujete a jako regulovaný subjekt ohlásíte svou regulovanou službu na NÚKIB, máte první krok za sebou. NÚKIB vás zaregistruje a dále vám začínají další povinnosti dle režimu, ve kterém regulovanou službu poskytujete. Pokud máte jen jednu regulovanou službu, budete se řídit bezpečnostními opatřeními a splňovat povinnosti dle režimu, který tato regulovaná služba určuje. Může se jednat o vyšší režim (více povinností), nebo nižší režim.

    Ilustrační fotografie

    Společnosti zde chybují v případě, kdy se chtějí připravit na novou legislativu a poskytují více regulovaných služeb, přičemž jedna regulovaná služba je určena v nižším a druhá regulovaná služba ve vyšším režimu. Společnosti se pak chtějí připravovat na oba režimy zároveň nebo si zvolí pro ně výhodnější – nižší režim. Protože společnosti mohou mít pouze jeden režim, uplatňuje se zde pravidlo „vyšší bere“. Pokud máte i jen jednu z mnoha regulovaných služeb ve vyšším režimu, je pro vaši společnost rozhodující režim vyšších povinností.

    Chyba č. 5: Jsem dodavatel regulovaného subjektu = jsem regulovaný subjekt?

    Návrh nového zákona o kybernetické bezpečnosti se zmiňuje i o dodavatelích regulovaných subjektů. Ti budou muset splňovat určité povinnosti. Půjde hlavně o pravidla, která na ně dopadnou prostřednictvím jejich zákazníků (regulovaných subjektů). To, že dodáváte své služby regulovanému subjektu, vás samo o sobě mezi regulované subjekty nekvalifikuje.

    Dodavatel musí sám poskytovat nějakou regulovanou službu, aby se stal regulovaným subjektem, a zároveň naplnit všechna ostatní kritéria, která daná regulovaná služba bude požadovat. Proto i dodavatel jako každá jiná společnost se musí sám samoidentifikovat a určit, jestli je regulovaným subjektem. Pokud nebude, budou se na něj vztahovat jen povinnosti jako na dodavatele regulovaných subjektů a nebudete se muset ohlašovat na NÚKIB. Už víte, jestli spadáte pod novou legislativu? Ověřte si v bezplatné aplikaci URČI SE, zda pod novou regulaci pravděpodobně spadnete, či nikoliv. Dozvíte se i to, co budete muset případně plnit a jaké by měly být vaše další kroky.

    Převzato z časopisu Komora. Autorky článku: Kateřina Hůtová a Kateřina Kubíková, Cybrela

    • Teritorium: Česká republika

    Doporučujeme