Tisíce firem čekají nové povinnosti. Poslanci schválili klíčový zákon závádějící směrnici NIS2
Poslanecká sněmovna dnes ve třetím čtení schválila návrh nového zákona o kybernetické bezpečnosti, který do české legislativy transponuje evropskou směrnici NIS2. Tisíce firem a institucí tak už brzy čekají nové – a především nemalé – povinnosti. Zákon nyní míří do Senátu, termín účinnosti zatím není znám.
Nový zákon o kybernetické bezpečnosti se dotkne tisíců firem a institucí napříč obory – od energetiky, zdravotnictví a veřejné správy až po digitální infrastrukturu, poskytovatele cloudu, datových center, online tržišť či sociálních sítí. Vztahuje se i na zahraniční firmy působící v Česku.
Legislativa mimo jiné zavádí povinnou registraci takzvaných regulovaných služeb, povinnost zavést a dokumentovat bezpečnostní opatření, a především hlásit kybernetické incidenty do 24 hodin od jejich zjištění. Rozlišuje přitom firmy podle režimu vyšších nebo nižších povinností.
U strategicky významných služeb může stát dokonce zakročit přímo – včetně zákazu určitých dodavatelů, u kterých vyhodnotí bezpečnostní riziko. NÚKIB v tomto duchu v minulosti varoval například před používáním výrobků čínských značek Huawei a ZTE.
Právě k tomuto bodu zazněla v úvodní rozpravě prakticky jediná výtka, kdy poslanec Robert Králíček (ANO) upozornil na nedokonalé legislativní ošetření možnosti obcházení zákona. „Pokud se ukáže, že to firmy obcházejí, v příštím volebním období z jakékoli své role navrhnu novelizaci zákona,“ avizoval. Jinak ale norma prošla hladce.
Králíček však upozornil i na to, že podle něj zákon nevyřeši jiný zásadní problém: „Nemáme dostatek kapacit k tomu, abychom byli schopni naplnit zákonné podmínky, které tu dnes schválíme. Kybernetická bezpečnost je stále popelkou, a je hluboce podfinancovaná i z pohledu rozpočtu – koneckonců sám Národní úřad pro kybernetickou a informační bezpečnost nemá dostatek peněz na své provozní výdaje,“ řekl.
NIS2 po česku
Firmy, na které se zákon vztahuje, budou muset do 60 dnů od účinnosti provést takzvanou sebeidentifikaci – tedy ověřit, zda se na ně zákon vztahuje, a následně se zaregistrovat u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Do 30 dnů od registrace pak musí nahlásit kontaktní a doplňující údaje.
Od té doby jim také začne běžet povinnost hlásit významné kybernetické incidenty – nejprve do 24 hodin, do 72 hodin doplnit detailní zprávu a případně do 30 dnů předložit závěrečné vyhodnocení. Na implementaci bezpečnostních opatření budou mít firmy maximálně 12 měsíců.
Konkrétně nový kybernetický zákon pro firmy znamená:
- povinnost registrace regulovaných služeb
- povinné zavádění bezpečnostních opatření
- hlášení kybernetických incidentů do 24 hodin
- možnost státního zásahu – například zákaz konkrétních dodavatelů v případě hrozby
- důraz na bezpečnost dodavatelského řetězce
Oproti směrnici NIS2, kterou tento zákon zavádí do národní legislativy, Česko významně rozšiřuje počet regulovaných subjektů. Odhaduje se, že se dotkne nejméně šesti tisíc malých a středních firem a institucí. Nová legislativa si klade za cíl zvýšit kybernetickou odolnost celé Evropy v době, kdy počet kyberútoků neustále roste (čtěte: Počet kyberútoků na firmy roste. Škody jdou do miliard). Ostatně, i sama směrnice NIS2 vznikla jako přímá reakce na rostoucí kybernetické hrozby v Evropě a klade důraz na jednotná pravidla pro zabezpečení klíčových služeb v celé EU.
Od kdy platí NIS2?
Nejasná zatím zůstává účinnost nového zákona o kybernetické bezpečnosti. Členské státy sice měly čas na transpozici směrnice NIS2 do loňského října, celá řada evropských zemí včetně Česka ovšem se zavedením nových pravidel mešká. Česká republika kvůli tomu dostala už i vytýkací dopis od Evropské komise.
I kvůli legislativnímu zpoždění se tak v rámci pozměňovacích návrhů změnilo i datum účinnosti nového zákona o kybernetické bezpečnosti. Namísto 16. října 2024, jak bylo v návrhu původně uvedeno, nově zákon obsahuje ustanovení, že „nabývá účinnosti 1. dnem třetího kalendářního měsíce následujícího po jeho vyhlášení (ve Sbírce zákonů)“. Z toho je zřejmé, že dosud skloňované datum 1. července 2025 se opět odsouvá a konkrétní datum účinnosti směrnice NIS2 v Česku bude možné stanovit až po úplném dokončení legislativního procesu.
Návrh zákona po úpravách poslanců nyní zamíří do Senátu. Poté musí normu stvrdit svým podpisem prezident. Gestorem celého systému i samotného zákona je NÚKIB.
Směrnici NIS2 a novému zákonu o kybernetické bezpečnosti (nZKB) se věnujeme v našem speciálním projektu (vše o NIS2), kde naleznete detailnější informace. Mimo jiné se zde dozvíte:
- Co je to směrnice NIS2 a proč vznikla?
- Co mění zákon o kybernetické bezpečnosti?
- Koho se směrnice NIS2 týká a od kdy platí?
- Klíčové povinnosti a požadavky NIS2 a nZKB
- 10 kroků, jak se připravit na směrnici NIS2
Zaujali jsme vás? Pokračujte...
Změna větší než GDPR. Koho se týká směrnice NIS2 a jaké hrozí sankce?
Směrnice NIS2 se blíží, jste připraveni? Otestujte se
Směrnice větší než GDPR se odsouvá. Legislativci nestíhají NIS2 zpracovat
Nový Finmag právě na stáncích. Podnikatelské příběhy i speciál k NIS2
V čase, kdy se se zdá, že nic už není tím, co bývalo, neztrácejí optimismus. Chuť vymýšlet a podnikat by mohli rozdávat. Příběhy, které určitě stojí za to znát.
Zdroj: FinmagBYZNYS JE UMĚNÍ
Jan Nepomuk Langhans byl mladý a nezkušený venkovan, brzy ale vybudoval největší fotografický ateliér v Praze. • Ondřej Kuchař vedl největší jazykovou školu, dnes spoluvlastní pekárnu Zrno zrnko a 10 kaváren a bister v Praze. • Podnikatelské příběhy dělí 140 let, mají ale mnohé společné.
BYZNYS JE TAKY VĚDA
Žijeme v nové éře (kyber) bezpečnosti. • Jak se ubránit útokům hackerů? • Proč jsou malé firmy nejzranitelnější? • A jak se směrnice NIS2 zapíše do české legislativy i do podnikání tisíců firem?
Další články autora
Související témata
Související články
Nejčtenější články
Aktuální číslo časopisu
Nový Finmag právě na stáncích. Podnikatelské příběhy i speciál k NIS2
