30. 10. 2024
Nový zákon o kybernetické bezpečnosti a směrnice NIS 2: Jak se mění kybernetická bezpečnost v České republice?
Na konci července tohoto roku předložila vláda Poslanecké sněmovně návrh nového zákona o kybernetické bezpečnosti. Tento návrh má nahradit stávající zákon č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů, a reflektovat změny, které přináší směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (směrnice NIS 2).
Cílem nové legislativy je posílit kybernetickou ochranu v rámci České republiky a zajistit, že bude připravena na rostoucí hrozby v digitálním prostředí. Nově nastavený legislativní rámec má být flexibilní a umožnit rychlé přizpůsobení se novým formám útoků.
Rozšíření regulovaných subjektů
Jednou z nejzásadnějších změn, které nový zákon přináší, je rozšíření počtu subjektů, které budou muset splňovat požadavky na kybernetickou bezpečnost. Nově budou subjekty rozděleny do dvou kategorií – na ty, které mají vyšší povinnosti, a na ty s povinnostmi nižšími.
Poskytovatelé strategicky významných služeb, kteří jsou klíčoví pro národní bezpečnost a ekonomiku, budou muset zajistit, aby jejich služby byly dostupné v nezbytném rozsahu, kvalitě a z území České republiky. Tento přístup má zabránit situacím, kdy by výpadek důležitých služeb mohl ohrozit klíčové infrastruktury či bezpečnost státu.
Odpovědnost vrcholného vedení a kybernetické řízení
Významnou novinku představuje zvýšená odpovědnost vrcholného vedení organizací za zajištění kybernetické bezpečnosti. Management bude muset aktivně dohlížet na implementaci bezpečnostních opatření a bude odpovědný za případné nedostatky. V praxi to znamená, že vrcholové vedení bude muset mít přehled o rizicích spojených s kybernetickými hrozbami a přijímat konkrétní opatření k jejich minimalizaci.
Nový zákon rovněž zavádí povinnost řízení kybernetické bezpečnosti, což znamená, že každá organizace bude muset přesně definovat rozsah řízení kybernetické bezpečnosti a přijmout odpovídající strategie. Tímto krokem se zákonodárce snaží zajistit, aby byla bezpečnostní opatření nejen zavedena, ale také pravidelně aktualizována a odpovídala aktuálním hrozbám.
Hlášení incidentů a spolupráce s NÚKIB
V neposlední řadě návrh zákona pokrývá povinnost hlášení kybernetických incidentů. Organizace budou muset nejen hlásit úspěšné útoky, ale také pokusy o průniky do jejich systémů. Tímto způsobem se má zajistit, že Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) bude mít přehled o aktuálních hrozbách a bude schopen rychle reagovat na situace, které by mohly narušit bezpečnost kyberprostoru.
NÚKIB bude mít rozšířené pravomoci, včetně možnosti vyhlásit stav kybernetického nebezpečí, pokud by bylo ohroženo zabezpečení informací na národní úrovni. Tento stav by umožnil rychlé nasazení potřebných opatření k eliminaci hrozeb a ochranu klíčových služeb.
Závěr
Přijetí nového zákona o kybernetické bezpečnosti představuje významný krok k posílení ochrany digitálního prostoru v České republice. Nová právní úprava přináší nejen nové povinnosti pro organizace, ale také s tím spojený větší rozsah odpovědnosti a nutnost aktivního přístupu k ochraně před kybernetickými hrozbami. Z toho důvodu je klíčové, aby se všechny dotčené subjekty začaly včas připravovat na implementaci popsaných změn.
Účinnost nové právní úpravy má nastat 18. října 2024, což odpovídá termínu pro transpozici směrnice NIS 2 do národních právních řádů.
Autor: Martin Valdauf - Co-founder