PRÁVNÍ SERVIS | Doby, kdy největší bezpečnostní hrozbou pro vás či vaše podnikání byl dvoumetrový svalovec s kuklou a zbraní, jsou dávno pryč. Záporáky současné doby jsou nově náctiletí počítačoví mágové, kteří dokáží z pohodlí svého domova (tedy spíše domova svých rodičů) trápit technologické giganty, jako jsou firmy Microsoft nebo Nvidia. Nebo ve větším měřítku státy kontrolované nebo podporované hackerské skupiny, které se neštítí v době covidu vyřadit z provozu třeba i nemocnice.
Útoky na velké korporace i infrastrukturu státu jsme koneckonců viděli i minulý týden, kdy některé weby vyřadila na delší dobu z provozu Ruskem podporovaná (pokud už ne přímo řízená) skupina, která si říká Killnet.
V reakci na tyto hrozby, nejednotnou právní úpravu kybernetické bezpečnosti napříč členskými státy a identifikovanou nedostatečnou míru kybernetické odolnosti podniků působících v EU, navrhla Evropská komise už před časem přijetí sady nových předpisů, mezi nimiž nejvýznamnější z pohledu soukromých firem jsou směrnice o posílení odolnosti kritických subjektů (CER) a směrnice o opatřeních k dosažení vysoké společné úrovně kybernetické bezpečnosti v unii, známá pod zkratkou „NIS 2“.
Proč by vás to mělo zajímat?
Kybernetická bezpečnost je a brzy bude v mnoha případech i ze zákona věcí většiny středních i větších společností a veřejných subjektů. Proces vyjednávání směrnice NIS 2 není ještě na svém konci (to se očekává v druhé polovině roku). Již nyní je ale z různých materiálů, které ukazují pokrok ve vyjednávání na evropské úrovni, zřejmé, že přinese řadu zásadních změn. Ty se pak na národní úrovni promítnou do zákona o kybernetické bezpečnosti a povedou k jeho podstatným změnám. Návrh komise především rozšiřuje oblast působnosti stávajících kyberbezpečnostních pravidel na celou řadu nových subjektů. Dle zavedeného kritéria velikosti subjektu budou do působnosti směrnice zahrnuty všechny střední a velké podniky z vybraných odvětví, na něž se má směrnice NIS 2 vztahovat a v případě vybraných základních a důležitých subjektů splňujících kritéria stanovená směrnicí NIS II budou zahrnuty veškeré tyto subjekty dokonce bez ohledu na jejich velikost.
Mezi tato odvětví patří doposud v menším rozsahu regulovaná odvětví stávající směrnicí NIS, jako je energetika, doprava, bankovnictví, zdravotnictví a poskytovatelé digitálních služeb. K nim přibudou nová doposud neregulovaná odvětví, jako jsou např. výroba, zpracování a distribuce potravin, výroba zdravotnických prostředků či motorových vozidel. Dle předběžných odhadů tak může být nově regulováno až několik stovek nových subjektů.
Jaké povinnosti vám nově vzniknou?
Směrnice NIS 2 stojí na principu analýzy a řízení rizik (tzv. risk based approach). Zavedení efektivního systému řízení rizik a řízení incidentů (včetně hlášení) tak bude naprostým základem pro splnění povinností vyplývajících z této směrnice. Mezi ta bude například spadat i povinnost posuzovat a řídit bezpečnostní rizika vyplývající z dodavatelských řetězců a dodavatelských vztahů, a to s přihlédnutím jak k technickým, tak netechnickým faktorům. Kybernetickou bezpečností se tak ve firmě bude zabývat opravdu každý. Od řadových zaměstnanců až po vedení firmy.
Vedení firmy? Není to práce firemního ajťáka?
Není. NIS 2 potvrdí tezi, že kybernetickou bezpečnost musí řešit vedení firmy. Přijatá opatření totiž budou muset přímo schvalovat a ponesou za ně odpovědnost v souladu se zásadou péče řádného hospodáře vedoucí orgány daných subjektů. Nejde totiž jen o zavedení technických opatření, ale i organizačních a právních, která na firemní IT oddělení prostě není možné delegovat.
Kdy byste se tím měli začít zabývat?
S ohledem na zvyšující se počet kyberbezpečnostních incidentů a hlavně na zvyšující se náklady, které s sebou nesou, se vyplatí kybernetickou bezpečností zabývat hned. Podle studie společnosti IBM ve spolupráci s Ponemonovým institutem byly loni průměrné ztráty z jednoho kyberbezpečnostního incidentu 4,24 miliony dolarů, což je o deset procent víc než v roce 2020. Dobrým začátkem může být školení svých zaměstnanců a managementu. Přes 80 % hackerských útoků totiž využívá chyb lidí. Co se povinností vyplývajících ze směrnice NIS II týče, její přijetí se očekává v první polovině tohoto roku. Státy pak budou mít dva roky na to implementovat nová pravidla do svých právních předpisů. V tomto ohledu již český regulátor – Národní úřad pro kybernetickou a informační bezpečnost – vyzývá odbornou veřejnost ke konzultaci nad úpravami zákona o kybernetické bezpečnosti.
Mnozí si možná připomenou bolestný proces, který jejich organizaci přinesla nutnost být v souladu s obecným nařízením o ochraně údajů – GDPR. Ač lze tyto dva případy z pohledu vyplývajících povinností srovnávat, zabývat se plošně kybernetickou bezpečností je opravdu na místě. Pokud se tedy firma nechce nechat vydírat totalitními hackery nebo náctiletými kluky.
Příště si v tomto seriálu popíšeme blíže, jaké konkrétní netechnická bezpečnostní opatření může firma zavést, aby zvýšila kybernetickou odolnost a připravila se na případné právní povinnosti vyplývající z připravovaných evropských právních předpisů, jako je směrnice NIS 2.
TOMAN & PARTNEŘI
Autorem článku je Šimon Toman z advokátní kanceláře TOMAN & PARTNEŘI, která je partnerem rubriky Právní servis na INFO.CZ a garantem oblasti kybernetické bezpečnosti.