Mnoho lidí si pod kyberbezpečností nepředstaví nic konkrétního. Přitom téma nemusí být tak vzdálené, jak se na první pohled může zdát. Stejně jako by měl každý člověk řešit své zdraví a dbát na prevenci, tak by v dnešním světě měl každý jednatel mít alespoň minimální know-how o bezpečném zacházení s technologiemi, které každý den používá. Za tímto účelem byla Evropskou unií vytvořena směrnice NIS2, která se propsala do českého právního prostředí – konktrétně do nového zákona o kybernetické bezpečnosti (dále jen „Zákon“) s účinností od 1. listopadu 2025.

Jak zjistit, jestli jste povinným subjektem podle zákona o kybernetické bezpečnosti?

Zákon funguje na principu tzv. sebeurčení (self-determination), kdy subjekty musí samy posoudit, zda jsou povinným subjektem.

Posouzení, jestli jste povinným subjektem, je možné díky jednoduché kalkulačce umístěné na stránkách NÚKIB. Pokud zjistíte, že byste povinným subjektem být mohli, což se většinou týká významnějších podniků, pak se musíte zaregistrovat na stránkách NÚKIB. NÚKIB poté registraci posoudí a rozhodne o tom, zda poskytujete některou z regulovaných služeb a zda patříte do nižšího/vyššího režimu povinností. Výjimečně Vás může NÚKIB přihlásit a zaregistrovat jako povinný subjekt i bez vaší součinnosti.

Co dělat, pokud máte za to, že spadáte pod zákon o kybernetické bezpečnosti?

Ještě před tím, než vás NÚKIB zaregistruje, doporučujeme začít důkladným auditem aktiv společnosti. Aktivy myslíme zejména lidské zdroje, dodavatele a IT systémy. Smyslem je najít zranitelná místa ve společnosti, kudy by mohl případný útok na Vaši společnost vést. Až k 60 % útoků dnes dojde z důvodu lidské nedbalosti, kdy zaměstnanec otevře podezřelý odkaz nebo používá příliš jednoduché heslo, čímž se útočník snadno dostane do systému společnosti a může způsobit obrovskou škodu. K dalším útokům může docházet prostřednictvím dodavatelů IT systémů. Na ně a jejich monitoring proto Zákon klade důraz.

Jak správně postupovat, pokud jste povinným subjektem?

Jakmile budete zaregistrováni a NÚKIB rozhodne, že poskytujete regulované služby, vznikne Vám povinnost zavést řadu opatření, která pomáhají bezpečnost navýšit. Zákon stanovuje kromě konkrétních povinností i obecnou povinnost prevence, proto bude zapotřebí pracovat s výsledky auditu a zacelit ta místa, která jsou vyhodnocena jako riziková. Mezi některá opatření patří:

• průběžně vzdělávat zaměstnance;
• vytvořit vnitřní předpisy pro zaměstnance (interní směrnice);
• mít aktualizovaný a chráněný software;
• u poskytování strategicky významných služeb mít smluvně ošetřené vztahy s dodavateli.

Shrnutí k zákonu o kyberbezpečnosti

Společnosti, které se kyberbezpečností ještě nezačaly zabývat, mohou přijít k velkým újmám, a to jak z důvodu útoku, tak i pokut ze strany úřadů. Mimo to mohou nečinností ohrozit data svá i data klientů, jakož i chod systémů, a tím chod celé společnosti. Chápeme, že problematika je složitá, a proto doporučujeme nechat si poradit odborníky.

V advokátní kanceláři ATREUM se na digitální právo specializujeme a jsme tedy schopni vám komplexně poradit a nastavit vaše procesy tak, abyste byli před útoky lépe chráněni.