Postupující proces digitalizace a s tím spojený nárůst závislosti na informačních technologiích s sebou zároveň nese i větší množství kybernetických hrozeb, které nabírají na intenzitě i s ohledem na současnou geopolitickou situaci.
Je tedy přirozené, že je nutné klást důraz na zajištění kybernetické bezpečnosti zejména v klíčových odvětvích ekonomiky, čemuž napomáhá i nová legislativa v oblasti kybernetické bezpečnosti. V prosinci 2022 byla přijata Směrnice o opatřeních k dosažení vysoké společné úrovně kybernetické bezpečnosti v Unii, známá jako NIS 2. Na její implementaci mají členské státy čas do října 2024.
Působnost
Směrnice NIS 2 výrazně rozšiřuje dosavadní oblast působnosti přidáním nových regulovaných odvětví a zavedením limitů pro velikost organizace. V České republice se předpokládá nárůst ze současných cca 600 povinných subjektů na 6 000.
Zavádí se rovněž přímá odpovědnost statutárního orgánu za zajištění kybernetické bezpečnosti v organizaci.
Směrnice NIS 2 zavádí dvě kategorie povinných subjektů, a to essential entities a important entities, přičemž na první jmenované budou kladeny povinnosti vyšší. Bezpečnostní opatření (organizační a technická), které mají za cíl zvýšit kybernetickou bezpečnost určité organizace, pak budou obdobného charakteru, jako dle současného zákona o kybernetické bezpečnosti a prováděcích předpisů.
Odpovědnost
Zavádí se rovněž přímá odpovědnost statutárního orgánu za zajištění kybernetické bezpečnosti v organizaci. Dochází k výraznému zpřísnění sankcí, a to v horní hranici až 10 miliónů EUR nebo 2 % ze světového obratu. V případ zjištění nedostatků bude rovněž možnost vydat dočasný zákaz výkonu řídící funkce fyzické osobě v regulované organizaci.
Národní úřad pro kybernetickou a informační bezpečnost
Na novém zákonu o kybernetické bezpečnosti, který bude směrnici NIS 2 implementovat do českého právního řádu, nyní intenzivně pracuje Národní úřad pro kybernetickou a informační bezpečnost, přičemž zahájení legislativního procesu se očekává ve druhé polovině roku 2023.
Mimo výše uvedené povinnosti se počítá i se zavedením mechanismu posuzování bezpečnosti dodavatelského řetězce, který je čistě vnitrostátní inciativou, a který zavede možnost zakázat rizikové dodávky do strategické infrastruktury.
Závěr
Je tedy nezbytné sledovat legislativní proces a připravit se na plnění nových povinností, a to zejména u organizací, které dosud regulaci nepodléhaly. Proces zavedení opatření pro zvýšení kybernetické bezpečnosti je totiž náročný jak po organizační, tak po nákladové stránce, a je tedy nezbytné se na něj adaptovat s dostatečným časovým předstihem.
