Směrnice Evropského parlamentu a Rady č. 2022/2555 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v EU… se vžitým názvem „NIS 2“ (dále „Směrnice“) je na světě už déle než rok. Český zákonodárce by měl národní právní úpravu stihnout Směrnici uzpůsobit do 18. října 2024. Stihne to?

Bude to těsné, ale spíše jako tradičně nestihne. Při přípravách na transpozici totiž legislativci zjistili, že úprava dle Směrnice je natolik rozsáhlá, že náš zákon č. 181/2014 Sb. o kybernetické bezpečnosti prostě neobstojí, a tak se můžeme těšit na zbrusu nový zákon o kybernetické bezpečnosti, který se (podle současných zpráv) očekává do konce roku 2024, takže můj soukromý odhad účinnosti je červenec 2025. Stávající zákon se tak po zhruba 10leté službě bude poroučet do legislativního nebe (nebo pekla?).

V tomto článku se podíváme na to, co některé z nás (a taky koho) nejspíše čeká podle nově chystaného zákona o kybernetické bezpečnosti. Pracujeme přitom s návrhem zákona, který naposledy dostala na stůl Legislativní rada vlády. Takže upozorňujeme, že do znění, které nakonec vstoupí do Parlamentu, natož pak do toho, které z něj vystoupí, může mít ještě daleko. I tak ale návrh určitě stojí za pozornost a měli bychom se na blížící se povinnosti pomalu začít připravovat.

Koho se budou nové povinnosti týkat?

Dříve, než si alespoň rámcově řekneme, „CO“ se bude muset, rádi bychom popsali, „KDO“ to bude muset. Už jen proto, aby ostatní mohli s klidem tento článek zavřít.

Povinných subjektů s transpozicí Směrnice každopádně výrazně přibude. Při určování okruhu povinných osob se zohledňují primárně dvě kritéria – „velikost“ subjektu (počet zaměstnanců, nebo obrat) a odvětví jeho činnosti.

K prvnímu kritériu velikosti platí (hodně zjednodušeně a zobecněně podáno), že povinnosti se budou týkat jen tzv. velkých a středních podniků. Těmi jste v případě, že zaměstnáváte alespoň 50 zaměstnanců, nebo dosáhnete ročního obratu nebo bilanční sumy ve výši alespoň 10 milionů EUR. Ale pozor, u některých odvětví činnosti jsou stanovené výjimky, a povinnosti se vztáhnou i na osoby, které kritérium velikosti nenaplňují (např. poskytovatelé služeb registrace domén nebo poskytovatelé služeb, jejichž narušení by mohlo mít významný dopad na veřejný pořádek, veřejnou bezpečnost nebo ochranu zdraví). Výjimek je ale podstatně více a naleznete je v článku 2 odst. 2-4 Směrnice.  Státy přitom mohou okruh výjimek v mezích Směrnice ještě rozšířit.

Při splnění kritéria velikosti nebo naplnění některé z výjimek z něj je potřeba dále zkoumat, jestli Vaše činnost spadá do některé z oblastí vyjmenovaných v přílohách Směrnice. Ty celkem obsahují 18 odvětví a téměř 70 popsaných služeb.

Povinnosti podle směrnice/návrhu nového zákona

Ne snad, že by se obsah povinností pro povinné subjekty měnil nějak zásadně. Většina povinností už existovala, ale s razantním rozšířením okruhu povinných subjektů by se slušelo zmínit nejen povinnosti nové, ale připomenout i ty „staronové“, které přetrvají.

S ohledem na rozsahové možnosti tohoto článku si dovolíme povinnosti uvádět spíše obecně formou přehledu, protože detailní popis každé z povinností by vydal na samostatný článek. Upozorňujeme tedy, že nejde o všechny povinnosti a jejich aspekty.

• Povinnost registrace a nahlásit povinné údaje do 30 dnů ode dne, kdy zjistíte, že jste naplnili podmínky pro registraci (v podstatě se stanete povinným subjektem), se musíte u NÚKIB registrovat. Do dalších 30 dnů od obdržení vyrozumění o registraci musíte úřadu poskytnout povinné údaje. Pokud se regulovaná činnost netýká celého Vašeho podniku nebo celé jeho činnosti, pak ještě budete muset vymezit rozsah, který regulaci podléhá.
• Zavedení bezpečnostních opatření – ty návrh zákona dělí na organizační a technické a dále je ještě rozděluje podle režimu tzv. nižších a vyšších povinností. Nalezneme tu např. řízení aktiv, řízení rizik, správu a ověřování identity, zaznamenávání událostí… Opatření musíte zavést do 1 roku od doručení vyrozumění o registraci.
• Hlášení kybernetických bezpečnostních incidentů u kterých se nepodaří ve stanovené lhůtě (zatím se počítá s 24 hodinami) vyloučit úmyslné zavinění.
• Informování odběratelů regulované služby o incidentu, který by mohl negativně ovlivnit poskytování služby. A také o krocích, které může uživatel v reakci na hrozbu podniknout.
• Povinnost provést a informovat o provedeném protiopatření na hrozbu (způsobem předpokládaným a popsaným v zákoně).
• Další povinnosti u poskytovatelů vybraných služeb. Např. povinnost zajistit v nezbytném rozsahu dostupnost tzv. (zákonem definované) strategické služby.

Jednotlivé povinnosti, které tu mimochodem nejsou zdaleka všechny, jsou v návrhu zákona do detailu popsány s mnoha různými výjimkami, takže tento přehled berte prosím skutečně jen jako orientační.

Závěr

Příprava uzpůsobení české právní úpravy Směrnici už je v plném proudu. Ze Směrnice i prozatímního návrhu zákona je zřejmé, že povinností bude více a dotknou se více osob. Nejspíše přibudou také některé nové zajímavé druhy sankcí (např. vyloučení osoby z řídící funkce), ale i přesto můžeme očekávat, že úřad bude přistupovat spíše ke klasickým pokutám.

Každopádně si musíme na konečné znění zákona ještě nějakou dobu počkat, a zatím pracovat s pouhým předpokladem toho, co český zákonodárce se Směrnicí v našem prostředí udělá. Dlužno dodat, že NÚKIB v rámci celého procesu přípravy nové úpravy a adaptaci na Směrnici velice otevřeně a užitečně informuje veřejnost o chystaných změnách a aktuálním stavu příprav nové legislativy. NÚKIB také deklaroval nápomoc povinným subjektům s tím, že je bude nad rámec svých povinností upozorňovat na povinnost registrovat se. Pokud tomu tak bude, je třeba takto vstřícný přístup úřadu zajisté ocenit.

Návrh zákona nejspíše v průběhu legislativního procesu dozná několika změn, takže legislativní proces budeme rozhodně se zájmem sledovat.