Nová pravidla se mají dotknout šesti až deseti tisíc subjektů – od státních a veřejných organizací po ryze soukromé firmy v určených odvětvích. 

O čem regulace je?

Nová evropská směrnice zásadně rozšířila okruh firem, které musejí bezpečnost před kybernetickými útoky řešit nejen prakticky, ale i formálně. Zároveň musejí být schopné doložit, že vědí, co pro svou bezpečnost dělají.

Cílem legislativních změn je, aby si společnosti v citlivých odvětvích uvědomily, jak zásadní je pro ně ochrana před kyberútoky. „A zároveň je snahou zlepšit odolnost zemí Unie vůči těmto hrozbám. Je tu jednoznačná potřeba sjednotit způsob ochrany informací na úrovni členských států EU napříč odvětvími, která si ochranu zasluhují,“ shrnuje poradce Michal Dvořáček.

Kromě sektorů jako energetika nebo finance se legislativa nově vztahuje i na veřejnou správu, IT služby, odpadové hospodářství, logistiku či doručovací služby (viz přílohu směrnice NIS2).

NIS2: polovina IT manažerů netuší, jestli by jejich firma prošla penetračním testem

Zásadní novinkou zákona, který čeští zákonodárci definitivně přijali letos v létě, je přenesení odpovědnosti na top management dotčených společností. Pokud firma povinnosti, vyplývající ze směrnice NIS2, nesplní, mohou být sankcionováni členové jejího vedení.

„Mnoho firem si neuvědomuje, že budou muset od nynějška řešit kyberbezpečnost stejně důsledně jako například banky. Pokud vyvíjejí software, spolupracují s veřejnou správou nebo provozují doručovací služby, NIS2 na ně dopadne,“ varuje Vlastimil Paclt ze společnosti NTT Data.

Drastické pokuty až čtvrt miliardy. Je třeba se bát?

V případě porušení pravidel mají členové statutárních orgánů osobní odpovědnost za způsobenou škodu či nemajetkovou újmu a za ručení věřitelům za dluhy společnosti.

Navíc mohou být vyloučeni za své funkce, případně jim může být nejméně na půl roku zakázán její výkon. Samotným firmám hrozí mimořádně vysoké pokuty až do výše 250 milionů korun nebo dvou procent z ročního obratu.

Opatření podle směrnice NIS2 jsou za dveřmi. Jak se na ně firmy připravují?

Mají ale zejména malé podniky, pro které by případné sankce mohly být fatální, důvod k obavám? Především platí, že se nová legislativa dotýká jen malého počtu podnikatelských subjektů.

„Firmy, které se domnívají, že se jich NIS2 netýká, by si nicméně měly pečlivě zanalyzovat nejen svou hlavní činnost, ale i vedlejší aktivity. Regulace se totiž může vztahovat i na související činnosti, které spadají do regulovaných oblastí,“ doplňuje poradce.

V zásadě jde o subjekty, které poskytují služby v rámci osmnácti odvětví uvedených v přílohách směrnice. Ve vybraných kritických odvětvích platí povinnost i pro malé firmy, jinak jde primárně o společnosti s více než 50 zaměstnanci či obratem vyšším než 10 milionů eur.

Obory, kterých se NIS2 dotýká

• Energetika
• Doprava
• Zdravotnictví
• Vodárenství
• Digitální infrastruktura
• Veřejná správa
• IT služby a řešení
• Výroba elektroniky, strojního a motorového zařízení, potravin a zdravotnických prostředků
• Poštovní a kurýrní služby, nakládání s odpady a chemické látky
• Online tržiště, vyhledávače a platformy sociálních sítí 

NIS2 (Network and Information Security 2) je celoevropská směrnice o kybernetické bezpečnosti, bezpečnosti informačních systémů, počítačových sítí, aplikací, software a informací. Jejím cílem je zvýšení odolnosti organizací proti kybernetickým útokům.

Firmy a organizace, které ve zmíněných sektorech působí, musejí od listopadu dodržovat řadu povinností, týkajících se IT infrastruktury a informací.

V zásadě budou muset od roku 2026 implementovat silnější bezpečnostní opatření pro ochranu svých sítí a informačních systémů, což zahrnuje i pravidelné hodnocení rizik a školení zaměstnanců.

Firmy budou muset také hlásit kybernetické incidenty, a to do 24 hodin od jejich zjištění příslušným národním orgánům (konkrétně na portál NÚKIB). To má zajistit rychlou reakci na kybernetické hrozby a minimalizovat jejich dopady.

Podrobný průvodce směrnicí NIS2 (NÚKIB)

Příklady firem, které se musejí novou legislativou řídit, najdete v článku Kybernetický zákon se dotkne firem, které o tom ani netuší na Businessinfo.cz.

Máte čas nebo musíte spěchat?

Na splnění první povinnosti, tedy ohlášení regulované služby, mají firmy 60 dní. Protože zákon platí od 1. 11., posouvá se deadline na konec roku.

Do konce prosince musíte především zjistit, zda se vás nové povinnosti (vyplývající z NIS2) vůbec týkají. Pokud ano, musíte se přihlásit u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Ten vám následně vystaví rozhodnutí o registraci.

Všechny ohlašovací povinnosti se plní přes Portál NÚKIB, kde najdou zástupci firem další informace o povinnostech s novým zákonem spojených. Podnikatelé mohou využít také portálovou kalkulačku, která jim odpoví na otázku, jestli pod nový zákon o kybernetické bezpečnosti vůbec spadají. Detaily stanovuje vyhláška o regulovaných službách. 

Mnoho firem si neuvědomuje, že budou muset od nynějška řešit kyberbezpečnost stejně důsledně jako například banky

Vlastimil Paclt, NTT Data

Po nahlášení už je iniciativa na straně NÚKIB. Zástupci firem musejí vyčkat na rozhodnutí o registraci a od termínu jeho doručení se odvíjejí další lhůty.

Další povinnosti je třeba splnit do jednoho roku od doručení rozhodnutí. Jako regulovaný subjekt musí společnost postupně zavést bezpečnostní opatření podle zákonem stanoveného režimu povinností a začít hlásit kybernetické bezpečnostní incidenty. Do tohoto procesu se musí zapojit vedení firmy. Na trhu dnes existuje mnoho společností, která nabízejí relevantní řešení a s přechodem na nové podmínky firmám pomohou.

Zákonné režimy povinností jsou dva: vyšší zpravidla pro větší organizace, nižší pro menší společnosti (platí pro většinu nově regulovaných podniků a je nastaven jako naprosté minimum kybernetické bezpečnosti).

„V nadsázce přirovnáváme novou normu ke standardu, který očekáváte od hotelu, do kterého se jedete ubytovat na letní dovolenou – že když jim svěříte své osobní údaje, tak se nebudou za týden prodávat někde na Darknetu,“ říká k zákonu, který platí od listopadu, ředitel NÚKIB Lukáš Kintr.

jap