Jakých firem se budou nově týkat povinnosti v oblasti kybernetické bezpečnosti? Napovědět může jednoduchý dotazník právních expertů

Evropská směrnice NIS 2 přináší poměrně zásadní změny v oblasti regulace kybernetického zabezpečení. Doposud se totiž pravidla o požadavcích na kybernetickou bezpečnost vztahovala pouze na vybrané subjekty spadající do kritické infrastruktury. Jak bude transpozice této směrnice do českého právního řádu vypadat konkrétně prozatím nevíme. Co ale víme je, že ze současný 400 subjektů se povinnost rozšíří na přibližně 6000 dalších. Podnikáte a nejste si jistí, zda do chystaných regulatorních pravidel také spadáte? Napovědět může například také jednoduchý a přehledný dotazník.

Není divu, že řada podnikatelů nadcházející změny vnímá, stejně jako sílící rizika v kybernetickém prostoru. Praktiky útočníků se neustále zdokonalují, roste počet trestných činů páchaných v on-line prostoru a ojedinělé nejsou ani organizované útoky na objednávku či za úplatu. Dobře cílený DDoS útok pak může vyřadit společnost i na několik týdnů, přičemž útočníci vyžadují zpravidla výkupné v hodnotách milionů korun.

Právě rostoucí rizika v kyberprostoru přiměla Evropskou unii k posílení bezpečnostních pravidel. Směrnice NIS 2 již Brusel schválil koncem roku 2022 a její transpozice do českého právního řádu je nyní v rukou Národního úřadu pro informační a kybernetickou bezpečnost (NÚKIB). Ten avizuje platnost změn od roku 2024, přičemž do 26.7. 2023 nyní probíhá meziresortní připomínkové řízení. NÚKIB zároveň k celé problematice připravil webový portál, kde pravidelně informuje o probíhajících změnách, včetně informací o tom, jaké subjekty do nových pravidel spadají a jaké povinnosti budou povinny plnit.

Pokud podnikáte a stále si nejste jistí, zda i vaše společnost podléhá připravované regulaci, v advokátní kanceláři Stuchlíková & Partners připravili jednoduchý dotazník, díky kterém zjistíte na čem jste. „Nárůst digitalizace a technologického pokroku se neodmyslitelně pojí se zvýšením hrozeb v oblasti kybernetické bezpečnosti, mimo jiné se zneužíváním digitálních systémů podniků. Evropská unie reagovala na tyto výzvy přijetím NIS 2 (Network and Information Security) a nařízením DORA (Digital Operational Resilience Act). Směrnice NIS2 upravuje pravidla kybernetické bezpečnosti obecně napříč různými sektory, například v oblasti digitálních služeb, dopravy či výrobního průmyslu, nařízení DORA se vztahuje na finanční sektor. Obě regulace zároveň dopadnou i na dodavatele ICT řešení v rámci řízení dodavatelských řetězců“ uvedla advokátní koncipientka AK Stuchlíková & Partners, Nikola Prachařová.

„Výklad a aplikace těchto nových regulací mohou být pro mnoho podniků výzvou, zejména s ohledem na to, že nemusí být na první pohled jasné, zda se na konkrétní podnik vůbec vztahují. Z tohoto důvodu jsme připravili jednoduchý diagnostický nástroj, který během pár kliknutí pomůže pochopit, zda a v jakém rozsahu se na danou společnost tyto nové povinnosti budou vztahovat,“ dodává Zuzana Stuchlíková, partnerka advokátní kanceláře. Tento nástroj v podobě jednoduchého a přehledného dotazníku je přitom zdarma dostupný pro všechny zájemce.

Základní kybernetické zabezpečení by dne mělo být povinností každého, bez ohledu na to, zda je k tomu vázán povinným právním předpisem či nikoliv. Kybernetičtí zločinci jsou vynalézavý, jejich techniky se stále mění, vyvíjí a především zdokonalují. Buďte proto obezřetní, budujte kybernetické zabezpečení ve svých firmách kontinuálně a nečekejte na příkaz z hůry.

Michael Fanta, redakce Cyberblog
Foto: Unsplash