Směnice NIS2 přinese nové povinnosti tisícům subjektů. Kybernetickou bezpečnost nepodceňujte, radí expertka

Nejpozději příští rok na podzim bude v Česku platit legislativa vyplývající ze směrnice o kybernetické bezpečnosti známá jako NIS2. Jak v rozhovoru pro INFO.CZ vysvětluje právní expertka na oblast kybernetické bezpečnosti a spoluzakladatelka konzultantské společnosti Cybrela Kateřina Hůtová, nově se přísná pravidla budou týkat tisíců subjektů namísto současných několika stovek. Hůtová proto každému doporučuje zjistit si, zda a jestli se povinným subjektem nestane a na vše se včas připravit. Jinak totiž hrozí vysoké pokuty. „Kybernetickou bezpečnost by nikdo neměl podceňovat. Ne kvůli hrozící pokutě, ale hlavně proto, že ty incidenty se reálně dějí dnes a denně, a vždy platí, že prevence je levnější než řešení následků,“ říká Hůtová. 

Blíží se termín, v němž Česko bude muset přijmout směrnici o kybernetické bezpečnosti NIS2. Co přesně to znamená a kdo by se měl tématem nějak více zabývat?

Je tu více možných úhlů pohledu. Směrnice NIS2 řeší, jak už bylo řečeno, informační a kybernetickou bezpečnost, přičemž ty vlastní povinnosti, které subjektům přináší, vlastně nejsou žádnými novinkami. Co nicméně novinkou je, a to poměrně zásadní, je významné rozšíření okruhu povinných subjektů, tedy těch, kterých se směrnice přímo týká. V současné době se povinně kybernetickou bezpečností musí zabývat zhruba 360 subjektů, podle NIS2 jich bude několikanásobně více.

To znamená?

NÚKIB říká, že podle jejich odhadů by to mělo být šest tisíc subjektů, ale když jsme se o tom bavili s kolegy z oboru, došli jsme k závěru, že bude to spíše dvojnásobek tohoto čísla. Na Slovensku, které je menší, už teď vědí, že to bude nejméně deset tisíc subjektů, spíše více, tudíž mi ta představa „jen“ šesti tisíc nepřijde úplně reálná.

Podle čeho zjistím, jestli se na mě budou nová pravidla a z nich plynoucí povinnosti vztahovat?

Je to kombinace více faktorů, která ukáže, zda na vás NIS2 bude, či nebude dopadat. Buď se podle typu činnosti vyloženě najdete v příloze ke směrnici, respektive teď už i v přílohách návrhu vyhlášky o regulovaných službách. Tam se stačí podívat a najít příslušné odvětví, i v rámci subdodavatelského řetězce.

Pak ještě řešíte druhé kritérium, kterým je velikost vaší společnosti. NIS2 dopadá na střední a velké subjekty, tedy od padesáti osob výše. Ale pozor, zde je úskalí v podobě toho, že se to počítá podle celé firemní struktury. Takže pokud vy sami jste malá společnost o třiceti lidech, ještě nemáte vyhráno, protože se do toho započítávají i mateřské, dceřiné a sesterské společnosti, podle toho, do jaké míry se procentuálně vlastní. Může se tedy stát, že v rámci struktury by vám tam vaše česká firma o dvaceti zaměstnancích nespadla ani velikostí, ani odvětvím, ale po zohlednění ostatních firem v rámci holdingu stejně povinným subjektem budete.

sinfin.digital