Dnešní digitální svět přináší nejen nové příležitosti, ale i rostoucí kybernetická rizika. Právě na tyto výzvy reaguje aktuálně připravovaný nový zákon o kybernetické bezpečnosti (dále jen „ZoKB“), který zásadně mění pravidla ochrany informačních systémů v České republice. Přijetí zákona je nezbytným krokem pro transpozici evropské směrnice NIS 2 a celkovou modernizaci kyberbezpečnostního rámce. Hlavním cílem nové regulace je, aby organizace v ekonomicky, společensky či bezpečnostně významných odvětvích zaváděly preventivní opatření ke zvýšení své odolnosti vůči kybernetickým hrozbám. Vzhledem k tomu, že směrnice NIS 2 rozšiřuje okruh regulovaných subjektů, dopadne nový zákon na podstatně širší spektrum organizací, než tomu bylo doposud. Jaké hlavní změny přináší, na koho dopadá a jaké jsou klíčové termíny? Shrnutí přinášíme níže.
Na koho nový zákon dopadne?
Nový ZoKB se bude vztahovat na výrazně širší okruh organizací než dosud. Důvodem je rozšíření seznamu regulovaných odvětví a služeb, na které se povinnosti nově vztahují. Regulace se nicméně nevztahuje na běžné občany, malé podniky (nesplňující podmínky významnosti) ani na organizace, které neposkytují regulované služby nebo nepůsobí v regulovaných odvětvích.
Nová právní úprava dopadá na poskytovatele regulovaných služeb, tedy organizace, které splní všechny následující podmínky:
- Působí v regulovaném odvětví, jako je například energetika, zdravotnictví, doprava, vodohospodářství nebo digitální služby. Kompletní seznam regulovaných odvětví je uveden ve vyhlášce o regulovaných službách (tato je stále součástí legislativního procesu a její znění se tedy může měnit).
- Poskytují konkrétní regulovanou službu, uvedenou v příloze výše zmiňované vyhlášky. Nestačí tedy jen působit v daném odvětví, důležité je, jakou konkrétní službu organizace skutečně poskytuje.
- Jsou dostatečně významné, přičemž hlavním kritériem významnosti je velikost organizace a v některých případech i další specifikovaná kritéria.
Každá organizace je povinna posoudit naplnění těchto podmínek samostatně. Pro snadné základní ověření, zda organizace spadá pod novou regulaci a jakému režimu povinností bude podléhat, je k dispozici speciální kalkulačka na portálu NÚKIB.
Provázanost se směrnicí NIS 2
Nový ZoKB implementuje klíčové prvky evropské směrnice NIS 2 (směrnice Evropského parlamentu a Rady EU 2022/2555), která sjednocuje požadavky na kybernetickou bezpečnost napříč členskými státy. NIS 2 reflektuje zkušenosti se stávající směrnicí NIS 1 a zavádí přísnější opatření, především v oblasti řízení rizik, zabezpečení dodavatelských řetězců, odpovědnosti managementu a povinnosti rychlého hlášení incidentů. Specifikem nové právní úpravy podle směrnice NIS2 je důraz na posilování automatizace a unifikace hlášení incidentů v každém členském státě.
Klíčové změny v nové právní úpravě oproti úpravě stávající
Oproti stávajícímu zákonu z roku 2014 přináší nový ZoKB několik zásadních změn. V současnosti regulaci zajišťuje zákon č. 181/2014 Sb., o kybernetické bezpečnosti, přičemž povinnosti z něj vyplývají pouze pro aktuálně definovaný okruh povinných osob (zejména bylo navázáno na státní infrastrukturu a dále na subjekty provozující užší množství vyjmenovaných služeb). Subjekty regulované dle nového ZoKB budou své povinnosti plnit až po jeho vstupu v platnost, tedy dle aktuálních informací nejdříve ve druhé polovině roku 2025 (zde však záleží na konkrétním průběhu legislativního procesu).
Jednou z hlavních změn, kterou nová právní regulace přináší, je rozšíření okruhu regulovaných subjektů a zavedení tzv. dvourychlostní kybernetické bezpečnosti. Tento model, vycházející ze směrnice NIS 2, rozděluje organizace do dvou kategorií podle významu jejich činnosti:
- režim vyšších povinností – určen pro velké podniky nebo organizace s klíčovým dopadem na společnost (např. energetika, zdravotnictví),
- režim nižších povinností – vztahuje se na střední podniky, které poskytují důležité, ale strategicky méně významné služby.
Režim povinností konkrétního poskytovatele regulované služby je uveden v příloze výše zmiňovaného vyhlášky o regulovaných službách. Základním kritériem je velikost podniku, ale u některých služeb se posuzují i další faktory. Pokud organizace poskytuje více regulovaných služeb, které spadají do různých režimů, automaticky se na ni vztahuje vyšší režim povinností. Režim se tedy stanovuje vždy pro organizaci jako celek, nikoli samostatně pro jednotlivé služby.
Další klíčovou změnou je zpřesnění pravidel pro hlášení kybernetických incidentů. Povinnost ohlašovat kybernetické incidenty byla zakotvena již ve stávajícím zákoně o kybernetické bezpečnosti. Nový ZoKB na tuto povinnost navazuje a zároveň zavádí jednotný způsob hlášení prostřednictvím Portálu NÚKIB, který se stane primární platformou pro komunikaci mezi poskytovateli regulovaných služeb a úřadem. Nová právní úprava detailněji stanoví, jaké údaje je třeba hlásit, v jakých lhůtách a jakým způsobem. K hlášení incidentů a zavádění bezpečnostních opatření je stanovena přechodná lhůta 1 rok od doručení rozhodnutí o registraci regulované služby. Neznamená to tedy, že by bylo třeba veškeré nově zaváděné povinnosti plnit ihned s účinností zákona, resp. ihned po ohlášení regulované služby.
Zákon stanovuje povinnost hlásit incidenty pro všechny poskytovatele regulovaných služeb, bez ohledu na to, zda spadají do nižšího nebo vyššího režimu povinností. Rozsah incidentů, které je nutné hlásit, se však mezi režimy liší:
- Poskytovatel ve vyšším režimu hlásí všechny incidenty, které:
- mají původ v kybernetickém prostoru,
- týkají se regulované služby a zároveň
- nelze u nich vyloučit úmyslné zavinění.
- Poskytovatel v nižším režimu hlásí pouze incidenty s významným dopadem, které:
- mají původ v kybernetickém prostoru,
- splňují kritéria významnosti dle vyhlášky pro nižší režim a zároveň
- nelze u nich vyloučit úmyslné zavinění.
V obou případech se incidenty hlásí prostřednictvím Portálu NÚKIB. U nižšího režimu je následně zpracovává Národní CERT, tedy subjekt zajišťující plnění části právními předpisy stanovených práv a povinností v oblasti kyberbezpečnosti (aktuálně vykonává organizace CZ.NIC).
Další podstatnou změnou je zpřísnění povinností v oblasti řízení kybernetických rizik. Subjekty budou povinny implementovat komplexní bezpečnostní opatření, nejen na technické úrovni, ale i v oblasti organizačního řízení, školení zaměstnanců, řízení dodavatelů a krizové komunikace. Významným bodem je i zavedení přísnějších sankcí.
Základní časový přehled povinností regulovaných subjektů
Bez ohledu na to, zda organizace spadá do nižšího nebo vyššího režimu, musí splnit následující povinnosti:
- Ohlášení regulované služby prostřednictvím elektronického formuláře v Portálu NÚKIB, a to do 60 dnů ode dne naplnění podmínek pro registraci regulované služby.
- Nahlášení kontaktních údajů prostřednictvím Portálu NÚKIB nejpozději do 30 dní od doručení rozhodnutí o registraci ze strany NÚKIB.
- Stanovení rozsahu řízení kybernetické bezpečnosti, přičemž organizace určí primární a podpůrná aktiva související s poskytováním regulované služby, kdy v rámci takto stanoveného rozsahu se pak na organizaci budou vztahovat povinnosti plynoucí z nového ZoKB.
- Zavedení bezpečnostních opatření podle příslušné vyhlášky, kdy každý regulovaný subjekt je povinen implementovat bezpečnostní opatření v rozsahu odpovídajícím jeho zařazení do nižšího nebo vyššího režimu povinností – pro každý z těchto režimů je vydána samostatná vyhláška, která stanoví konkrétní opatření a další související požadavky. Subjekt je povinen začít bezpečnostní opatření zavádět nejpozději do 1 roku od doručení rozhodnutí o registraci.
- Hlášení kybernetických bezpečnostních incidentů.
- Plnění případných protiopatření vydaných NÚKIB.
Hlavní rozdíly mezi režimy:
- Bezpečnostní opatření – každý režim má jiný rozsah povinných opatření, které je potřeba zavádět (každý režim má vlastní vyhlášku).
- Hlášení incidentů – rozdíl je v rozsahu hlášení, organizace ve vyšším režimu hlásí incidenty NÚKIB, organizace v nižším režimu národnímu CERT, hlášení však vždy probíhá prostřednictvím Portálu NÚKIB.
- Sankce – v režimu vyšších povinností mohou být uloženy vyšší pokuty nebo specifické sankce.
Předpokládaná účinnost
Původně se počítalo s účinností nového ZoKB od konce roku 2024. Vzhledem k vývoji legislativního procesu se však nyní předpokládá, že zákon nabude účinnosti nejdříve v průběhu druhé poloviny roku 2025. Přesné datum bude záviset na dokončení projednávání v Parlamentu a rychlosti legislativního procesu.
Závěr
Nový ZoKB představuje zásadní reformu ochrany digitální infrastruktury v České republice. Základním cílem je posílení odolnosti společnosti vůči rostoucím kybernetickým hrozbám a nastavení jednotných pravidel pro řízení rizik. Subjekty, na které bude nový režim dopadat, by se již nyní měly začít připravovat na přijetí nových opatření. Včasná příprava bude klíčová pro splnění povinností a minimalizaci možných sankcí či překotného zavádění poměrně složitých opatření k zajištění kyberbezpečnosti dle pravidel připravovaného ZoKB.
Autor článku: Mgr. Mikuláš Žížala, Edita Nováková