Směrnice NIS 2. Tisícům soukromých společností a veřejné správě mohou vzniknout nové kyberbezpečnostní povinnosti

Šimon Toman

PRÁVNÍ SERVIS | Evropští zákonodárci, tedy parlament a Evropská rada, dosáhli dohody o revidované směrnici o opatřeních k dosažení vysoké společné úrovně kybernetické bezpečnosti v Unii („NIS 2“). Ta je stěžejní legislativou v oblasti kybernetické bezpečnosti. Tisícům soukromých společností a orgánům veřejné správy v ČR tak vzniknou v této oblasti nové povinnosti.

Osobně nejsem ve většině případů velkým fandou rozsáhlé regulace, směrnici NIS 2 ale považuji za krok správným směrem. Jak nám dennodenně ukazuje Putinův teroristický režim, kybernetické útoky jsou cestou, jak napadat státy a jejich občany v době války i míru. I proto je nadmíru důležité nastavit vysokou společnou úroveň kybernetické odolnosti napříč celou Evropskou unií. Zejména pak v případě sektorů zásadních pro společnost a její fungování. A právě to je smyslem této právní úpravy. V minulém článku jsme popsali, na jaké firmy bude s největší pravděpodobností regulace dopadat. V tomto článku se více podíváme na povinnosti, které budou muset firmy splňovat a doporučení, které jim v této věci dáváme.

Co mnohé firmy a orgány veřejné správy čeká?

V rámci poskytování služeb v oblasti kybernetické bezpečnosti již některým klientům ze soukromé i veřejné sféry doporučujeme připravit se na povinnosti vyplývající z připravované směrnice NIS 2. V případě této směrnice totiž již došlo k takzvané „politické dohodě“, což znamená, že Evropský parlament a Evropská rada mají mezi sebou jasno o kompromisu a dolaďují se již technické detaily před samotným hlasováním v obou institucích a následném vyhlášení v úředním věstníku. Poté (což se dá čekat někdy po prázdninách) začne běžet zřejmě jednadvacetiměsíční implementační lhůta pro začlenění směrnice do národního práva.

Nová legislativa zejména rozšiřuje okruh subjektů, na které se budou vztahovat požadavky na zajištění kybernetické bezpečnosti. Subjekty se budou nově dělit na základní a důležité. Jak uvedl Evžen Tošenovský (ODS), který se otázce kybernetické bezpečnosti na půdě Evropského parlamentu dlouhodobě věnuje, „od prvně jmenovaných společností se budou vyžadovat přísnější kybernetická opatření a budou podléhat ex-ante kontrole ze strany NÚKIBu, zatímco druhá skupina bude kontrolována ex-post.“

V rámci předběžné přípravy na nové zákonné povinnosti a v zájmu zajištění vyšší míry kybernetické bezpečnosti klientům v prvé řadě doporučujeme provést komplexní audit kybernetické bezpečnosti, v rámci něhož se zmapuje současný stav kybernetické bezpečnosti dané organizace z právního, organizačního i technického hlediska. Identifikují se bezpečnostní opatření, která by firma jak ze zákonného, tak bezpečnostního hlediska měla zavést a následně se implementují. Kyberbezpečnostní audit by neměl být pouze zhodnocením technického zabezpečení, ale také posouzením organizační připravenosti firmy čelit kybernetickým útokům a incidentům, včetně úrovně vzdělanosti zaměstnanců v oblasti jejich prevence. Vždy tak firmám také doporučujeme úvodní školení zaměstnanců a vedoucích osob a následné nastavení jejich kontinuálního vzdělávání. Přes 80 % všech hackerských útoků totiž využívá chyb zaměstnanců.

Zavedení řízení rizik a incidentů

Ve smyslu NIS 2 firmám zejména doporučujeme zavést efektivní systém řízení rizik a incidentů. V případě řízení incidentů se jedná o zavedení systému pro prevenci, detekci a reakci na incidenty, jako jsou například incidenty spojené s ransomwarovými útoky, které jsou v současné ransomwarové pandemii pro firmy obří hrozbou. Vybrané firmy také budou mít nově oznamovací povinnost, kdy musí neprodleně (dle předpokladů do 24 h) oznamovat Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) každý kyberbezpečnostní incident, který bude mít závažný dopad na poskytování jejich služeb.

V případě řízení rizik pak bude stěžejní roli hrát tzv. analýza rizik, která by měla doprovázet jakékoli pro bezpečnost relevantní rozhodnutí ve společnosti. V rámci analýzy rizik firma vyhodnocuje rizika, která mohou mít dopad na bezpečnost firmy a její činnosti, jako je například dlouhodobá schopnost poskytovat své služby bez výpadků. Významné v tomto ohledu bude hodnocení technických i netechnických rizik spojených s dodavateli a jejich dodavatelskými řetězci. Otázka, jejíž relevanci jasně prokázala nevyprovokovaná ruská invaze Putinova režimu na Ukrajinu a následně uvalené sankce.

Odpovědnost statutárních orgánů

Směrnice NIS 2 také zavede přímou odpovědnost statutárních orgánů za zavedení kyberbezpečnostních opatření a jejich dodržování. Nebude tak dostačující problematiku kybernetické bezpečnosti delegovat na firemní IT oddělení, ale vedení firmy se bude muset o kybernetickou bezpečnost ve vlastním zájmu samo zajímat, jinak mohou za případný kybernetický incident nést přímou odpovědnost. A ta s ohledem na vysoké sankce uvedené v návrhu NIS 2 může být velmi bolestná.

Znamená to vyšší náklady pro firmy?

Implementace povinností spojených s přijetím směrnice NIS 2 bude jistě znamenat vyšší náklady a administrativní zátěž pro soukromé firmy i orgány veřejné správy, které doposud žádné kyberbezpečnostní povinnosti nezavazovaly. Jak uvedla Kateřina Kalužová, manažerka pro digitální ekonomiku Svazu průmyslu a dopravy ČR, „musíme si uvědomit, že ne každá firma má finanční prostředky či personální kapacity na budování speciálních útvarů, které se této problematice budou věnovat.“ V tomto ohledu bude velmi důležité, aby byl stát firmám co nejvíce nápomocný a ve většině případů shovívavý. S nesplněním povinností bude totiž spojená nezanedbatelná pokuta. V tomto ohledu bude hrát ústřední roli NÚKIB, který se již nyní na implementaci směrnice NIS 2 připravuje. V některých případech bude také záležet na způsobu transpozice směrnice, kdy považuji za důležité, aby se zejména limitovala administrativní zátěž pro dotčené subjekty, s níž jsou mnohdy spjaty největší náklady.

TOMAN & PARTNEŘI

Autorem článku je Šimon Toman z advokátní kanceláře TOMAN & PARTNEŘI, která je partnerem rubriky Právní servis na INFO.CZ a garantem oblasti kybernetické bezpečnosti.

sinfin.digital