Extrémní pokuty a tuna povinností? Zatím stačí, když budete mít plán, mírní emoce k NIS2 Kintr

Senát nový zákon o kybernetické bezpečnosti bez jakýchkoli průtahů schválil ve středu 11. června. Nyní se čeká na podpis prezidenta a zveřejnění zákona ve Sbírce zákonů. Klíčová změna pro tisíce českých firem na poli kyberbezpečnosti nabude účinnosti „prvním dnem třetího kalendářního měsíce následujícího po jeho vyhlášení“. Předpokládá se, že to bude 1. listopad 2025.

Hned poté se začnou odpočítávat lhůty: firmy, na které se regulace vztahuje, budou mít šedesát dní na to, aby se úřadu samy nahlásily. NÚKIB následně prověří, zda do působnosti nového zákona skutečně spadají, a pokud ano, doručí dané firmě rozhodnutí o registraci. Od té chvíle se počítá třicetidenní lhůta na nahlášení kontaktní osoby.

„To abychom věděli, s kým se o tom bavit, a ta komunikace byla co nejpružnější, nejefektivnější, zejména v těch krizových situacích,“ vysvětlil v předchozím díle podcastové minisérie Kintr. Mimo jiné v něm firmám poradil, kde zjistit, na koho se NIS2 vztahuje.

Regulovaný podle NIS2? Vytvořte si plán

Od chvíle, kdy vám NÚKIB doručí potvrzení o registraci, se začíná počítat také roční lhůta pro splnění všech povinností. „A začíná vám běžet povinnost hlásit (bezpečnostní) incidenty,“ upozorňuje na úvod dnešního dílu Kintr. Nově regulovaným prý toto období dává dostatek času na to se nové legislativě přizpůsobit. „Pro ty stávající regulované se prakticky nic zásadního nemění.“

Co tedy dělat, abyste nové legislativě vyhověli? „Pokud firma kybernetickou bezpečnost dosud neřešila, prvním krokem by mělo být zmapování vlastního prostředí. Jaké činnosti vykonává, jaké prostředky k tomu potřebuje, co je důležité a co méně. Protože z logiky věci nejsou všechny prvky ICT infrastruktury stejně důležité,“ radí šéf kybernetického úřadu.

Důležité podle něj je pochopit, co vlastně firma chrání, jaké hrozby jí reálně hrozí a kde má slabiny. „Jak mezinárodní standard ISO 27 000 (o němž byla řeč v předchozím díle, pozn. red.), tak naše vyhláška a zákon počítají s tím, že na různé prvky infrastruktury budete aplikovat různě přísná bezpečnostní opatření, protože nedává smysl chránit vše na té nejvyšší úrovni.“

Následně je na řadě vytvoření takzvané gap analýzy, tedy srovnání mezery (gap) mezi výchozím stavem a požadovanými cíli, a stanovení jasného plánu. „Začít si dělat přehled o tom, co a jak dneska chráníte nebo nechráníte, zjistit, jaké tam jsou ty mezery, a k těm sestavit potom plán, klidně i víceletý, ve kterém postupně budete od těch nekritičtějších děr postupovat, definujete si k tomu nějaké zdroje, nějaké lidi, potřebný čas,“ radí další postup šéf NÚKIB.

Jinými slovy, ne vše je potřeba udělat hned. Zákon staví spíše na analýze a plánování. „Počítáme s tím, že ne všechno lze nasadit hned – třeba kvůli plánované výměně technologií,“ říká Kintr. Zákon tak místo direktivních příkazů klade důraz na přiměřenost a kontinuitu. I to je podle Kintra důvod, proč lze nový režim zvládnout: „To stěžejní – gap analýza a plán – se dá za rok stihnout snadno.“

Pokuty za NIS2? Nestrašte…

Napadlo vás snad, že se na to celé vykašlete? Tak pozor, NÚKIB má připravený dohledový mechanismus. A pokud firma nereaguje a povinnosti neplní, přichází kontrola. Namátkově bude úřad upomínat i firmy, které se třeba – ať je důvod jakýkoli – registrovat zapomenou. Až poté, co své povinnosti ani po výzvě nesplní, přicházejí podle Kintra na řadu sankce.

V souvislosti s kybernetickou směrnicí NIS2 se přitom dřív skloňovaly opravdu značné sumy: sama směrnice uvádí pokuty až 10 milionů eur (cca 250 milionů Kč) či až 2 % z ročního obratu firmy. Kintr ale uklidňuje: „Sankce se liší podle závažnosti přestupků a velikosti firmy – pracují s celosvětovým obratem. Neměly by být likvidační, ale mají motivovat,“ říká.

V praxi to znamená, že nemají být likvidační. To ostatně nedovoluje český správní řád, který ukládá přiměřenost. Na druhou stranu Kintr upozorňuje, že úřad nebude přehlížet, pokud někdo nečinností hazarduje s bezpečností firmy nebo zákazníků. „Ta pokuta má být zkrátka přiměřená nejen závažnosti pochybení, ale také reáliím, ve kterých fungujete.“

(…)

Zaujalo? Ještě nekončíme! Co dál v podcastu zazní?

• Bude stát diktovat, jak konkrétně si máte firmu zabezpečit?
• Jaké konkrétní roviny nový zákon řeší a co byste měli řešit vy?
• Proč je klíčové zahrnout do opatření i školení zaměstnanců?
• A kolik vás to všechno bude stát?

Zaujali jsme vás? Pokračujte...

• NIS2 není jen nutné zlo, ale pomoc nám všem. Náš čas začít konat se krátí, varuje šéf NÚKIB

• Tisíce firem čekají nové povinnosti. Poslanci schválili klíčový zákon závádějící směrnici NIS2

• NIS2 je nutnost. Jsme zranitelnější, než si myslíme, varuje šéf NÚKIB