Nové povinnosti pro tisíce firem aneb NIS2 je tu. Co teď dělat a jak postupovat očima expertů

Lukáš Kintr

ředitel NÚKIB

Souhlasíte s názorem?

-

+5

+

Podnikatelé by hlavně měli zůstat v klidu. Zákon nabývá účinnosti k 1. listopadu 2025, na splnění první povinnosti, tedy ohlášení regulované služby, mají firmy 60 dní – do konce roku 2025. Všechny ohlašovací povinnosti se plní přes Portál NÚKIB – platformu pro komunikaci regulovaných subjektů s naším úřadem, kde také firmy najdou další informace o povinnostech s novým zákonem spojených.

Kdo nenechal věci na poslední chvíli, už si vyzkoušel portálovou kalkulačku a zjistil, zda pod nový zákon o kybernetické bezpečnosti „spadne“, nebo ne. Detail kritérií, zda firma pod zákon spadá, nebo ne, stanovuje vyhláška o regulovaných službách. Když se nahlásíte, je míček na straně NÚKIB: vyčkáte na rozhodnutí o registraci a od termínu jeho doručen se pak odvíjejí lhůty další – například máte 30 dní na nahlášení kontaktních údajů, pokud jste tak neučinili už při registraci.

Další povinnosti je třeba splnit do jednoho roku od doručení rozhodnutí o registraci – jako regulovaný subjekt jste zejména povinni zavádět bezpečnostní opatření podle svého zákonem stanoveného režimu povinností a začít hlásit kybernetické bezpečnostní incidenty. Zákonné režimy povinností jsou dva: vyšší zpravidla pro větší organizace, nižší pro menší – ten bude platit pro většinu nově regulovaných podniků a je nastaven jako naprosté minimum kybernetické bezpečnosti.

Ne vše se musí ovšem podařit zvládnout za jeden rok – nejdůležitější je z našeho pohledu dlouhodobý systematický přístup. Mějte na paměti, že i kdyby se vás nZKB netýkal, kybernetická bezpečnost samotná se vás týká určitě, protože se týká každého. A protože zákonné povinnosti pro nižší režim představují naprosté minimum, určitě doporučujeme je použít jako vodítko pro racionální dobrovolné zabezpečení firmy. Do budoucna se to vyplatí.

Petr Špiřík

partner pro kybernetickou bezpečnost, PwC Česká republika

Souhlasíte s názorem?

-

+3

+

Nejhorší smrt je z vyděšení a transpozice NIS2 do nZKB by dnes neměla být pro nikoho překvapením a důvodem k panice. NÚKIB opakovaně veřejně i soukromě ubezpečoval, že jeho cílem není v prvních dnech účinnosti rozdat maximum pokut, ale začít od těch opravdu kritických organizací a zaměřovat své působení ke zvyšování odolnosti jejich i nás jako země.

Zodpovědné vedení firmy, která by mohla nově spadat pod nZKB, by nicméně mělo důsledně ověřit, jestli pod něj (a do jakého režimu) opravdu spadají. A potom si za domácí úkol udělat poctivou analýzu, jak si stojí v jednotlivých oblastech. Čím upřímnější a víc na datech postavená ta analýza bude, tím lépe. Výsledkem by měl být jednoduchý soupis oblastí, kde je kybernetická bezpečnost dostatečně v souladu s novým zákonem, oblasti, kde všichni vědí, že je to na hraně – a dá se očekávat, že budou i oblasti kompletně nepokryté.

Z naší zkušenosti jsou nejčastější bílá místa ta, která vždy byla a jsou nákladově náročná, ať už přímo v ceně technologií, nebo nepřímo v potřebě dostatku lidí. Typicky jde o řízení privilegovaných účtů nebo 24/7 bezpečnostní monitoring, což jsou oblasti, které se nedají vyřešit jen na papíře, ale jejich zavedení vyžaduje plánování, podporu top managementu a investice.

Zároveň nZKB přináší nutný a chtěný impulz k zamyšlení nad strategií řízení kybernetické bezpečnosti. Ideálně půjde pro mnoho organizací o bod, kdy se rozhodnou přestat vytloukat klín klínem a jen hasit nezbytné požáry, ale zaměří svou energii k tomu, jak ochránit svůj byznys a hodnoty, které přináší. Taková strategická úvaha je zásadní pro rozvahy typu, zda svou kyberbezpečnost stavět, nebo kupovat, kde investovat do lidí, kde do technologií, jakou změnou musí organizace projít, aby byla odolná a efektivní.

Barbora Tyllová

produktová ředitelka Mastercard pro Česko a Slovensko

Souhlasíte s názorem?

-

+5

+

V Mastercard se na kybernetickou bezpečnost díváme z globální perspektivy – každou minutu čelí naše infrastruktura stovkám pokusů o útok, a proto do technologií, vzdělávání i prevence dlouhodobě investujeme. Stejně jako v oblasti plateb věříme, že klíčem k odolnosti nejsou jen špičkové systémy, ale i informovaní lidé a dobře nastavené procesy.

Právě proto jsme letos představili Mastercard Index kybernetické bezpečnosti v Česku, který mapuje, jak si v oblasti digitální bezpečnosti vedou jednotlivci, domácí podniky a instituce státní správy. A z dat jasně vyplývá pozitivní trend: české firmy berou kyberbezpečnost vážněji než dřív.

Máme vaše data, zaplaťte v bitcoinech. Jak probíhá reálný kyberútok a co vám hrozí

Devět z deseti firem už někdy čelilo útoku a většina z nich dnes považuje digitální rizika za běžnou součást svého fungování. Osm z deseti IT odborníků si věří, že dokážou pokus o útok rozpoznat a zastavit – ještě před dvěma lety to říkaly jen dvě třetiny. Roste i podíl firem, které mají připravený krizový plán nebo zaměstnávají specialistu na kyberbezpečnost.

Stejně důležitá je i osvěta: tři čtvrtiny firem využívají dvoufaktorové ověření a požadují pravidelnou změnu hesel, sedm z deseti organizací pořádá pravidelná školení a více než 60 procent upozorňuje své týmy na aktuální hrozby.

Z našich dat i ze spolupráce s bankami a partnery jasně vidíme, že dobře nastavené firmy si s kyberútoky poradí – ne proto, že investují hodně financí do ochrany a technologie, ale proto, že mají správně nastavené interní procesy, jasně rozdělené role, připravené scénáře a vzdělané zaměstnance.

Nový zákon o kybernetické bezpečnosti tak vnímáme jako příležitost, ne jako strašáka. Pomůže sladit standardy a motivuje i menší podniky, které dosud oblast bezpečnosti odkládaly. Na konci dne jde o jediné: udržet důvěru zákazníků a partnerů. 

Tomáš Stegura

ČSOB expert na kyberbezpečnost

Souhlasíte s názorem?

-

+5

+

Společně s nZKB přicházejí nová pravidla, se kterými je dobré se seznámit. Velká většina firem a podnikatelů v Česku se zabývá kyberbezpečností už delší dobu a přistupuje k ní zodpovědně. I tak se jim ale vyplatí posoudit, zda spadají pod regulaci zákona. K tomu slouží kalkulačka na Portálu NÚKIB.

Pokud firmy a podnikatelé zjistí, že se jich nová legislativa opravdu týká, je třeba zaregistrovat zodpovědnou osobu. Nový zákon má jako hlavní parametry pro zařazení pod regulaci velikost podniku a odvětví. Obecně pod něj spadají spíše střední a větší podniky působící v citlivých odvětvích, jako jsou energetika, zdravotnictví, doprava nebo digitální služby. Malých podniků a mikropodniků, kterými jsou pro účel zákona subjekty s méně než 50 zaměstnanci a zároveň ročním obratem nebo bilanční sumou pod dva miliony eur, tedy v přepočtu zhruba 48,5 milionu korun, se novinka netýká.

Existují ale výjimky. Proto i těm menším pro jistotu lze doporučit výše zmíněnou kalkulačku. Po základní registraci teprve začíná běžet roční lhůta pro zavedení bezpečnostních opatření. Je v největším zájmu každé firmy mít bez ohledu na legislativu IT systémy vždy nejen funkční, ale i maximálně bezpečné a spolehlivé.

Pavel Vokáč

místopředseda představenstva AMSP ČR

Souhlasíte s názorem?

-

0

+

Svým členům vždy doporučujeme komunikaci s nejpovolanějším subjektem, a to je NÚKIB. Na svém webu má velmi podrobný postup verifikace firmy z pohledu účinnosti či dopadů nového zákona včetně rozšíření jeho působnosti ve shodě se směrnicí NIS2. Lhůty, obsah a podobně jsou zde velmi dobře popsány a podle našeho názoru se nejedná ani o žádné krizové časové požadavky, které by se nedaly zvládnout při běžném provozu firmy.

PDCA cyklus. Objevte jednoduchý nástroj, který vám pomůže s růstem i směrnicí NIS2

Firmy, které spadají pod NIS2, mají obvykle dobře rozvinuté IT a v tomto rozvoji podle podmínek kybernetického zákona mají už na co navazovat a stabilizovat tak systém kybernetické bezpečnosti. Pro nás jsou však klíčové i ty firmy, které pod kybernetický zákon nebudou přímo spadat, ale kybernetické bezpečnosti by měly věnovat vyšší pozornost, než dnes obvykle věnují.

Zde vidíme velký prostor pro zlepšení, pro proaktivní vnímání kybernetické bezpečnosti jako zcela nezbytného prvku digitalizace služeb a rozvoje produktů. Podle našich průzkumů to firmy často podceňují a minimálně u poloviny subjektů nám vychází, že nebylo dosaženo vhodné aktivity (v úrovni povědomí a připravenosti), která by ke kybernetické bezpečnosti přistupovala systémově.

Klíčovou cestou je trvalé vzdělávání – jak majitelů a jednatelů, tak i zaměstnanců. Pro IT oblast doporučujeme postup, kdy by schopnosti interního či externího „běžného“ IT měly prověřit či auditovat specializované firmy. Postupy jsme shrnuli v projektu Kyberobrana.cz, kde každá firma najde něco pro sebe, pro odpovídající a aktuální zlepšení kybernetické bezpečnosti.

Dalibor Lukeš

vedoucí segmentu ICT, Vodafone ČR

Souhlasíte s názorem?

-

+1

+

Nový zákon o kybernetické bezpečnosti vítám jako nezbytný krok k posílení digitální odolnosti firem i celé společnosti. Tím, jak zviditelňuje tuto oblast i formou osobní odpovědnosti vedoucích pracovníků, jasně nastavuje prioritu a pozornost.

Důležité ale je nesklouznout jen k prostému splnění povinností. Naopak, situaci využijme jako příležitost k posílení nejen bezpečnosti, ale celkové odolnosti a připravenosti organizace na nenadálé situace – takzvané business continuity. I proto pak kyberbezpečnost není jen nákladová položka, ale investice do důvěry zákazníků, reputace a získání náskoku na trhu. Lhůty jsou sice krátké a požadavky náročné, ale to je realita digitální ekonomiky. Hrozby jsou totiž vždy napřed před legislativou.

Mé doporučení je zaměřit se na zapojení a vzdělávání lidí v tom, jak se chovat bezpečně i v kyberprostoru. Zabezpečení technologií je důležité, ale lidský faktor často rozhoduje o tom, zda se útok podaří realizovat, případně jaké škody napáchá. Vzdělávejme proto lidi i v této oblasti a připravujme je na různé situace, které mohou nastat – jako to ostatně děláme třeba v oblasti první pomoci, v dopravě či bezpečnosti práce.

Nesmíme také zapomenout na dodavatelský řetězec, protože jeden slabý článek může ohrozit celý systém. Zrovna v telekomunikacích, které zasahují do našeho každodenního života, musíme být připraveni poskytnout nejen technologie, ale i know-how a nástroje pro efektivní obranu. Věřím, že pokud se na kyberbezpečnost podíváme jako na strategickou prioritu, nikoli jen jako na povinnost, bude české prostředí silnější a odolnější.

První, co by firmy měly udělat, je zjistit, zda spadají do regulace dle nového zákona. NÚKIB nabízí kalkulačku, která to rychle ověří. Doporučuji začít analýzou současného stavu. Jaké máte procesy, jak chráníte data, jak reagujete na incidenty? Druhý krok je vytvořit interní tým a jasně definovat role a odpovědnosti. Pak je vhodné také zkontrolovat dodavatelský řetězec. Sankce za neplnění jsou vysoké, ale největší riziko je ztráta důvěry zákazníků.

Tomáš Kubíček

partner BDO, specialista IT poradenství

Souhlasíte s názorem?

-

+1

+

V prvé řadě by si firmy měly provést samoidentifikaci toho, zda pod nZKB skutečně spadají, a když ano, do jaké kategorie povinností – zda vyšší, nebo nižší. Někdy to není triviální určit s ohledem na specifický druh činnosti dané firmy nebo i s ohledem na propojenost firem v rámci větších skupin. Na toto vyhodnocení mají firmy 60 dní od nabytí účinností zákona.

Pakliže pod regulaci spadnou, mají jeden rok na dosažení souladu. Fakticky se jedná o interní projekt, do kterého musejí být zapojeni odborníci na bezpečnost, IT, právníci, nákup, významní business vlastníci, ale i statutární zástupci společnosti (kteří mají nově ultimátní odpovědnost). Samotný zákon, související vyhlášky, jakož i budoucí metodiky a výkladová praxe NÚKIB kladou na firmy desítky, spíše ale stovky menších či větších povinností. Od bezpečnostní dokumentace, organizačních opatření, celkové governance kybernetické bezpečnosti až po zavedení pokročilých technických opatření nebo součinností vůči regulátorovi.

Možné sankce při porušení povinností (až 2 % obratu nebo až 250 milionů Kč, případně i pozastavení činnosti), byť se jeví jako potenciálně bolestivé, by neměly být vnímány jako hlavní motor, proč kybernetické bezpečnosti věnovat pozornost. Důležité je vnímat vlastní kybernetickou bezpečnost jako neustálý proces zlepšování a reakce na nové hrozby. Akcent je v nové legislativě kladen na bezpečnost dodavatelského řetězce a jeho průběžné prověřování.

Dále je třeba vše, co firma v bezpečnosti zavedla, průběžně testovat a prověřovat, že vše, co je psáno, se i reálně vykonává (například testování obnovy dat po havárií nebo útoku).

Jiří Švejda

advokát a Senior Associate z Dentons

Souhlasíte s názorem?

-

+1

+

Od účinnosti zákona mají subjekty poskytující regulované služby 60 dní na ohlášení NÚKIBu, a to včetně subjektů, na které už dopadá současná regulace. Před ohlášením regulovaných služeb je vhodné provést důkladnou analýzu služeb fakticky poskytovaných danou entitou, která poslouží jako podklad pro následné ohlášení. K tomu může pomoct praktická kalkulačka zveřejněná na stránkách NÚKIBu.

Některé z oblastí, například poskytování služeb digitální infrastruktury, jsou však poměrně široce vymezené a zahrnuji například také poskytování cloudových služeb v rámci skupiny. V případě neohlášení některé ze služeb přitom čelí subjekty sankcím až 250 milionů Kč nebo až do výše dvou procent čistého celosvětového ročního obratu. V případě ohlášení širšího rozsahu to naopak znamená zvýšené náklady na implementaci potřebných bezpečnostních opatření a administrativu.

Dalším důležitým okruhem je stanovení velikosti podniku, které je ve většině případů spojeno se zařazením společnosti do režimu vyšších či nižších povinností. Na poskytovatele v režimu vyšších povinností se uplatní bezpečnostní opatření ve standardním režimu, na poskytovatele v režimu nižších povinností se pak uplatní jejich zjednodušená podoba. V případě poskytování digitálních služeb se uplatní speciální úprava v evropském prováděcím nařízení a při splnění zákonných podmínek lze uplatnit výjimku, takzvaný one stop shop.

Do 30 dní od doručení rozhodnutí o registraci mají subjekty povinnost nahlásit kontaktní osoby (pokud tak neučiní v rámci samostatné registrace) a do jednoho roku zavést vhodná bezpečnostní opatření a hlásit kybernetické bezpečnostní incidenty.

Při zavádění bezpečnostních opatření je vhodné provést GAP analýzu současného stavu a opatření dle zákona případně sjednotit i s opatřeními dle jiných právních předpisů (například GDPR či DORA). To je důležité reflektovat zejména při celoevropské implementaci v rámci skupiny.

Právě teď je proto nejvyšší čas se implementací zákona začít intenzivně zabývat. Provádění nezbytných analýz, vyhodnocování dopadů a následná implementace požadovaných opatření jsou totiž časově i organizačně náročné procesy.