Na začátku listopadu vstoupil v účinnost nový zákon o kybernetické bezpečnosti. Firmám a dalším organizacím teď běží 60denní lhůta na určení, zda se jich nová regulace týká. A pokud ano, musí se před jejím uplynutím zaregistrovat u Národního úřadu pro kybernetickou a informační bezpečnost. Má to ale háček. Česká a evropská pravidla si protiřečí v tom, koho se novinky mají týkat. Co mají v takových podmínkách firmy a instituce dělat? V rozhovoru pro Českou justici radí partner advokátní kanceláře DLA Piper Tomáš Ščerba.
Jaká je podle vás největší výzva pro firmy v souvislosti se zákonem o kybernetické bezpečnosti?
Myslím, že největší výzvou je adaptace na podmínky nové legislativy v situaci, kdy ještě není kompletně dokončená. Zákon vstoupil v účinnost k 1. listopadu, ale doprovodná legislativa stále není v komplexní a finální podobě k dispozici. I samotný zákon měl velmi krátkou legisvakanční dobu. Od přijetí finální verze do vstupu zákona v účinnost uplynulo jen několik týdnů. U vyhlášek to bylo dokonce ještě méně a některá nařízení vlády dosud nejsou schválena. Samotný zákon je psaný poměrně obecně a detaily se skrývají právě v doprovodných předpisech. To podle mě není dobrý začátek účinnosti.
Především musí provést analýzu, zda spadají pod novou regulaci podle zákona o kybernetické bezpečnosti. Pokud ano, musí se registrovat u Národního úřadu pro kybernetickou a informační bezpečnost. Na to mají 60 dnů od vstupu zákona v účinnost, tedy zhruba do konce roku. To ale není úplně snadné. Proces samoidentifikace je zcela nová zákonná povinnost – dříve tu nebyla. Firma si musí zmapovat počet zaměstnanců i obrat. Na první pohled to vypadá jednoduše, ale v praxi vznikají otázky: počítají se i ženy na mateřské dovolené? Nebo lidé pracující třeba na dohodu o provedení práce? Převládá názor, že všichni, kdo jsou v pracovním poměru, by se měli započítat do padesátihlavého kritéria. Ale úplně jednoznačné to není.
Jak by si s tím tedy nyní měly firmy poradit?
Další výzvou je výpočet obratu, zejména u konsolidovaných skupin – například pokud jde o dceřiné společnosti nebo organizační složky zahraničních firem. To také v praxi působí značné komplikace.
A třetím velkým tématem je odvětvové kritérium. Je tu evropská směrnice NIS2, směrnice o odpovědnosti kritických subjektů CER a pak národní legislativa, která s nimi není úplně sladěná. Takže firma může být podle evropské úpravy považována za subjekt kritické infrastruktury, ale podle českého zákona už ne. Měl by sice platit eurokonformní výklad, ale stejně to u firem vyvolává otázky.
Ve kterých odvětvích může dělat největší problémy?
Například u distributorů léčiv není zcela jasné, zda pod regulaci spadají, nebo ne. Výrobci léčiv jsou jasně povinnými subjekty, stejně tak nemocnice s určitým počtem lůžek. Ale distributoři léčiv se ocitají v šedé zóně – podle evropské směrnice CER spadají do kritické infrastruktury, ale český zákon o kritické infrastruktuře to zatím jasně nestanoví. Chybí prováděcí předpis, který by přesně vyjmenoval odvětví a povinné subjekty.
Co firmám hrozí, pokud se u NÚKIB nenahlásí včas?
Pokud se nezaregistrují, hrozí jim vysoké sankce podle zákona o kybernetické bezpečnosti – u společností v režimu vyšších povinností až 10 milionů eur nebo 2 % celosvětového obratu, podle toho, která částka je vyšší. U subjektů s nižšími povinnostmi stanoví zákon pokutu až 7 milionů eur nebo 1,4 % obratu.
Nejde ale jen o peněžité sankce. Dalším rizikem je povinné zveřejnění porušení předpisů na stránkách NÚKIB, což může poškodit důvěru obchodních partnerů. To je problematické zvlášť u firem s veřejně obchodovanými akciemi. Třetím rizikem je ztráta certifikací a čtvrtým pak možnost pozastavení výkonu funkce člena statutárního orgánu až na šest měsíců. To znamená velmi zásadní zásah do fungování firmy.
Jak by se tedy měly podniky zachovat v případě pochybností? Raději se registrovat, nebo vyčkávat na oficiální upřesnění?
V případě pochybností bych doporučil se raději samoidentifikovat a nahlásit se. Finanční náklady na tento proces jsou určitě nižší než možné pokuty. Zatím neexistuje rozhodovací praxe úřadu ani soudní rozsudky, které by řešily způsob udělování sankcí, takže je lepší být obezřetný.
Navíc nastavení compliance může být pro firmu ve výsledku přínosem. Posílí důvěru partnerů a ve výsledku tak podnik získá konkurenční výhodu. Celkově to přispěje ke kultivaci celého bezpečnostního ekosystému, protože řetězec je vždy jen tak silný, jak silný je jeho nejslabší článek.
Mluví se o tom, že zákon dopadne až na 10 tisíc společností, kterých se dosud regulace kybernetické bezpečnosti netýkala. Jaké sektory by měly zpozornět?
Přibyla jich celá řada – například zpracování potravin a nápojů, odpadové hospodářství, výroba automobilů, strojů, elektroniky nebo poskytování digitální infrastruktury, tedy například datacentra a podobně. To všechno a mnohem víc je nově pod záběrem směrnice NIS2, která byla transponována do českého práva prostřednictvím zákona o kybernetické bezpečnosti.
Mohlo by vás zajímat
Co firmy čeká po samoidentifikaci?
Následuje rozdílová analýza, tedy zhodnocení, jak firma aktuálně splňuje požadavky zákona o kybernetické bezpečnosti. U organizací s vyššími povinnostmi se jedná o desítky stran povinností, které je nutné porovnat s interní dokumentací, směrnicemi, metodikami i smlouvami. Na základě analýzy se pak připraví chybějící dokumenty, aktualizují se nevyhovující materiály a revidují smlouvy, často formou dodatků nebo úplně nových kontraktů. Celý proces vyžaduje plán a governance model, který určí, jak a v jakém rozsahu se budou změny provádět.
Ještě těžší to mají společnosti, které podnikají přeshraničně. V každé jurisdikci totiž platí trochu jiná pravidla. Například v Rumunsku je úprava přísnější, v Polsku mírnější. Firmy tedy musí své povinnosti zkoumat individuálně v každé zemi.
A právní opatření musí doprovodit i ta technická, že?
Ano. Vytváří se implementační plán kroků a governance model, jak zapojit jednotlivé závody a pobočky. Teprve poté začíná samotná implementace. Nová právní úprava jde v technických opatřeních mnohem dál než ta původní – například v oblasti šifrování, správy zařízení nebo politiky hesel. Zatímco dříve si firmy mohly politiku hesel nastavit podle sebe, nyní musí dodržovat přesné parametry – minimální délku, speciální znaky, pravidelnou změnu, jasně definované odpovědnosti a aktualizace. Vše musí být součástí jednotného systému řízení informací.
Specifikem českého zákona je i kontrola dodavatelských řetězců. Jak velké téma to je?
Obrovské. A také nákladné. Pro mnoho dodavatelů to bude znamenat zpřísnění standardů – povinnost umožnit penetrační testování, návštěvy v provozu, poskytovat výkaznictví a reporting, spolupracovat při řešení incidentů, uzavírat důkladné dohody o mlčenlivosti, řešit takzvaný vendor lock-in nebo předávat data a kódy novým dodavatelům. Je to velmi široké a komplexní téma.
Jak k tomu ale přistupovat, když ještě nejsou schválena vládní nařízení o strategicky významných službách a nepominutelných funkcích, které tuto oblast definují?
V takové situaci je vhodné řídit se poslední dostupnou verzí návrhu nařízení a sledovat odborné zprávy ENISA a NÚKIB. Lze se tak alespoň přiměřeně adaptovat. Samotná kontrola povinností v rámci dodavatelských řetězců ale začne reálně až v roce 2027 – rok 2026 bude adaptační. Firmy tedy mají ještě prostor své procesy doladit.
Takže firmy nemusí hned teď přepisovat smlouvy se svými dodavateli?
Nemusí okamžitě, ale měly by se na to připravovat. Zákon o kybernetické bezpečnosti už platí a je účinný, ale závazným se stává až po uplynutí roční lhůty pro zapracování povinností. Společnosti tedy mají ještě více než rok. Výjimkou je ovšem již zmíněná samoidentifikace, ta musí proběhnout do konce roku.
