KOMENTÁŘ VOJTĚCHA KRISTENA | Poslanci sice mají novelu kyberbezpečnostního zákona, která vychází z evropské regulace NIS2, před třetím čtením, datum schválení a následně i účinnosti zákona jsou však stále velmi nejisté. Tuzemské firmy – a zejména právníci a poradci, kteří je budou na nová pravidla připravovat – proto mají obavy, že budou mít jen velmi krátký čas na přípravu. A to stále existují případy společností, které ani po poradě s advokáty nevědí, zda se jich nový zákon bude týkat.
Zavádění novely kyberbezpečnostního zákona právníci a poradci nejčastěji připodobňují k časům, kdy k nám z Evropy přicházelo nařízení GDPR. To bylo stejně jako v případě NIS2 evropským předpisem, jenž významně měnil pravidla hry pro tisíce tuzemských firem, pro které znamenal vyšší výdaje. Navíc, v obou případech se očekává poměrně krátké časové okno mezi schválením zákona a jeho účinností.
„Předpokládáme, že nastane velmi krátké okno mezi schválením zákona o kybernetické bezpečnosti a jeho účinností, které povede k tomu, že trh začne zmatkovat a nebude přesně vědět, co má dělat,“ vysvětluje na konferenci Digitální Česko, kterou pořádá Institut pro politiku a společnost, advokát Michal Břežek z advokátní kanceláře PKK.
„A je otázka, zda v Česku vůbec budou kapacity na to, aby se to v tomto okně zvládlo. Osobně čekám podobnou situaci, jako když 25. května 2018 po zavedení GDPR začaly zvonit telefon všem právníkům a konzultačním firmám.“
Kyberbezpečnostní zákon, kterým se v Česku implementuje směrnice NIS2, reaguje na rostoucí význam digitálních služeb v moderní společnosti. Firmy na ně stále více spoléhají, což zvyšuje jejich strategickou důležitost, ale zároveň je činí atraktivním cílem pro kybernetické zločince i nepřátelské státy. Cílem zákona je proto posílit odolnost digitálních systémů klíčových podniků a organizací.
Ďábel se pochopitelně ukrývá v detailu – například v tom, které firmy jsou ty skutečně systémově strategické. Odborníci předpokládají, že legislativa bude mít dopad na šest až 16 tisíc firem, což je poměrně široký rozsah.
„Otázka, jestli se vás to jako firmy týká, anebo ne, nemusí být úplně jednoduchá,“ vysvětluje Břežek. Podle advokáta jsou pochybnosti třeba v příkladě tuzemských IT společností.
„Máme řadu klientů, kteří se nás ptají, jak mají k návrhu kyberbezpečnostního zákona přistoupit, jestli do toho spadají, nebo ne. A my jim na některé věci neumíme na sto procent odpovědět – a to ani tehdy, pokud to konzultujeme s IT specialisty a potenciálními manažery kybernetické bezpečnosti.“
Břežek na akci Digitální Česko popisuje, jak se o některých případech radil se samotným NÚKIBem, který legislativní návrh napsal a bude jej dozorovat.
„NÚKIB nám však odpověděl, že sám v daném případě neví, zda daná firma pod regulaci spadá, nebo nikoliv – byť s dovětkem, že je připravený se danou situací dále zabývat a blíže ji specifikovat,“ uzavírá advokát.
Podle ředitele NÚKIBu Lukáše Kintra, který se rovněž zúčastnil konference Digitální Česko, si je úřad nejistoty na trhu vědomý. Nejde však podle něj o pochybení úřadu.
„My se v těchto sporných případech dotazujeme do Bruselu, konkrétní odpovědi však často nedostáváme – a pak nám nezbývá odpovědět tak, jak jsme odpověděli,“ krčí rameny Kintr.
🔥🗞️ Přidejte si INFO.CZ do svých oblíbených zdrojů na Google Zprávy. Díky.
