Transpozice NIS2 se opozdí. Na co je třeba se připravit?

Směrnice NIS2 přináší významné změny v oblasti kybernetické bezpečnosti, které ovlivní široké spektrum firem v České republice – odhady mluví o 6 tisících subjektech. Co je dobré o ní vědět?

Stav transpozice

Nová legislativa měla v ČR vstoupit v platnost od 17. října roku 2024. Termín stanovila Evropská komise pro všechny členské země. Jeho nesplnění může mít za následek pokuty, v krajních případech až zastavení evropských dotací. Hotovo zatím hlásí pouze Maďarsko a Chorvatsko. V Česku je již nyní jasné, že se transpozice v daném termínu nestihne.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který má přípravu zákona na starosti, s návrhem u Legislativní rady vlády (LRV) příliš neuspěl. NÚKIB jej tedy bude muset přepracovat a znovu předložit LRV (k tomu došlu 28. 5. 2024, viz citace níže). Podle dostupných informací se nejedná pouze o kosmetické úpravy. Transpoziční lhůta se tedy s největší jistotou nestihne a zákon by tak mohl začít platit až od roku 2025.

Dle vyjádření NÚKIBu se podněty, které vznesla Legislativní rada vlády, týkaly spíše technických aspektů nového zákona (některých definic, vztahu nového zákona a dalších právních předpisů a zmocnění k vydávání podzákonných předpisů). Neoficiální zdroje hovořily o tom, že připomínek měla LRV mnohem více a že i obsahově značně zasahovaly do znění zákona.

Svůj původní návrh již nicméně NÚKIB pozměnil a nově znění zaslal na konci května 2024 na Legislativní radu vlády, která se jím bude nyní opět zabývat. Uvidíme tedy, zda se změnami NÚKIB uspěje a LRV vydá doporučující stanovisko a zákon poputuje do Parlamentu. Tak jako tak se už teď zdá být jasné, že transpoziční lhůtu k provedení směrnice NIS2 nestihneme.

Oliver Matoušek, Geetoo Legal Counsel

GDPR na steroidech

Chystaný evropský štít proti kybernetickým hrozbám si vysloužil přezdívku GDPR na steroidech. Oba legislativní akty totiž pojí celá řada podobností. Jako je performativní přístup k regulaci (regulované subjekty tvoří vlastní pravidla) a vysoké pokuty za nedodržování. Pojďme se stručně podívat na nejzásadnější změny.

Hlavní změny

  • Vyšší počet regulovaných subjektů: nově povinných subjektů bude cca 6 tisíc, i když některé odhady mluví až o dvojnásobku.
  • Bezpečnost dodavatelského řetězce: návrh zákona udává podnikům povinnost řídit kyberbezpečnost v rámci výběru dodavatelů. Novinkou je začlenění hodnocení NÚKIB do procesu výběru významného dodavatele u organizací v režimu vyšších povinností.
  • Datová suverenita: organizace v režimu vyšších povinností musí mít svá data lokalizovaná v Česku (případně v Evropské unii).
  • Hlášení incidentů: firmy budou muset hlásit kybernetické incidenty do 24 hodin od jejich zjištění. Tento rychlý reporting je klíčový pro včasné reakce a minimalizaci škod.
  • Odpovědnost vedení firmy: vedení firmy bude osobně zodpovědné za implementaci a dodržování standardů kybernetické bezpečnosti.
  • Pokuty za nedodržování: maximální výše pokut je 10 milionů EUR, nebo 2 % z čistého obratu.

Jak NIS2 vnímá trh?

Firmy v České republice mají ke směrnici a přístupu NÚKIBu určité výhrady. Vadí jim zejména fakt, že v současném znění má NÚKIB výhradní právo jakéhokoliv dodavatele zakázat. Kritici tvrdí, že tato cesta nepovede k větší kybernetické bezpečnosti, nýbrž k potenciální monopolizaci celého dodavatelského řetězce. To je samo o sobě také velkou hrozbou. Další připomínky:

  1. Přísnost a rozsah regulace: Firmy kritizují, že NÚKIB často zavádí přísnější pravidla, než jaká vyžaduje Evropa. Tento přístup vede k vyšším nákladům a složitějším požadavkům na dodržování předpisů.
  2. Byrokracie a administrativní zátěž: Mnoho menších podniků si stěžuje na zvýšenou administrativní zátěž, která směrnici provází.
  3. Nedostatečná komunikace a konzultace: Podnikatelská sféra často poukazuje na nedostatečnou komunikaci a konzultace ze strany NÚKIBu. Firmy mají pocit, že jejich připomínky nejsou dostatečně brány v úvahu, což vede k frustraci a nedůvěře vůči regulátorovi.
  4. Kapacitní omezení pro kontroly: Přestože NÚKIB plánuje provádět pravidelné audity, firmy poukazují na to, že regulátor nemá dostatečné kapacity na provádění těchto kontrol v rozsahu, který požaduje.

Zachování business kontinuity

Dle průzkumů část IT manažerů a profesionálů stále neví, že se jich NIS2 týká. Co si z toho odnést? Strategie kyberbezpečnosti by pro podniky měla být v dnešní době “selským rozumem”. A ne jen pouhou reakcí ve snaze splnit direktivu z EU.

Starost o bezpečnost by měla vycházet především z potřeb firmy a vědomosti, že je třeba se chránit. Nikoliv jen ze zákona. Každý rok čelí české firmy tisícům kybernetických hrozeb, přičemž škody mohou dosahovat milionů korun. Zajištění robustní kybernetické bezpečnosti není jen o dodržování předpisů, ale také o zajištění kontinuity vašeho podnikání a ochraně důvěry zákazníků. Investice do kybernetické bezpečnosti je investicí do budoucnosti vaší firmy.

Oliver Matoušek, Geetoo Legal Counsel

Pokud v otázkách NIS2 a kyberbezpečnosti tápete, neváhejte se na nás obrátit.

31. 05. 2024