Kybernetická bezpečnost představuje jednu z nejzásadnějších výzev pro veřejný i soukromý sektor. Česká republika reaguje na rostoucí počet kybernetických hrozeb komplexní právní úpravou, která se stále vyvíjí v souladu s evropským právem, zejména prostřednictvím implementace nové směrnice NIS2. V tomto článku poskytujeme přehled současného stavu právní úpravy kybernetické bezpečnosti v ČR, její transformace v návaznosti na evropskou legislativu, a vysvětlujeme, koho se tato pravidla týkají a jaké povinnosti z nich vyplývají.
Současná právní úprava
Základním právním předpisem, který v České republice upravuje kybernetickou bezpečnost, je zákon o kybernetické bezpečnosti. Tento zákon stanovuje práva a povinnosti osob (jak soukromých, tak veřejných) v oblasti zabezpečení sítí a informačních systémů. Cílem zákona je mj. stanovit základní úroveň bezpečnostních opatření, zlepšit detekci kybernetických incidentů, zavést povinnost jejich hlášení a nastavit systém reaktivních opatření. Zákon zároveň svěřuje Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) roli ústředního orgánu.
Tuto regulaci doplňují podrobné prováděcí předpisy, které konkretizují technické a organizační požadavky. Tyto předpisy tak vymezují např. to, které systémy a subjekty podléhají jakým konkrétním povinnostem (např. úroveň kybernetických opatření, způsob hlášení incidentů aj.).
Stávající zákon vymezuje několik kategorií povinných osob, mezi které patří mj.:
- Provozovatelé základních služeb – definovaní podle sektorových kritérií (např. energetika, doprava, finančnictví, zdravotnictví, vodohospodářství aj.),
- Správci a provozovatelé informačních systémů základních služeb – tj. instituce (např. ministerstva, státní orgány či provozovatelé sítí),
- Poskytovatelé služeb elektronických komunikací a subjekty zajišťující síť elektronických komunikací – především podniky poskytující internet, hlasové a datové sítě širokého dosahu,
- Poskytovatelé digitálních služeb – tzn. poskytovatelé služeb internetových vyhledávačů, cloudových výpočetních služeb a online tržišť.
Tyto povinné subjekty mají řadu bezpečnostních a oznamovacích povinností, mezi něž patří např.:
- Spolupráce při kontrole a auditech ze strany NÚKIB,
- Zavedení a udržování bezpečnostních opatření,
- Zpracování bezpečnostní dokumentace (např. bezpečnostní politika, analýza rizik),
- Hlášení kybernetických bezpečnostních incidentů NÚKIBu.
Vymahatelnost shora uvedených pravidel zajišťuje již zmíněný NÚKIB. Ten může podle zákona o kybernetické bezpečnosti mj. kontrolovat dodržování právních předpisů, zahajovat správní řízení, ukládat pokuty nebo rozhodovat o opatřeních na základě incidentů. Pokud NÚKIB odhalí nedostatky podle zákona o kybernetické bezpečnosti, může subjektu uložit nápravné opatření (s termínem nápravy) a v případě porušení hmotných povinností i finanční sankci. Kromě sankcí NÚKIB rovněž vydává varování a bezpečnostní doporučení.
Směrnice NIS2 a její dopad
Na evropské úrovni byla přijata novela směrnice NIS – tzv. NIS2. Ta rozšiřuje a zpřísňuje původní právní rámec. Nově zahrnuje mnohem širší okruh povinných subjektů, včetně např. víceúrovňových korporátních struktur (tzn. i subjekty mimo energetiku či dopravu), zavádí ambicióznější rizikově orientovaná pravidla řízení bezpečnosti, definici odpovědnosti vrcholového managementu, posílení spolupráce mezi členskými státy a jednotné pojetí hlášení incidentů, kde je kladen důraz na včasnost a kvalitu. Hlavním cílem NIS2 je tedy posílit ochranu klíčových služeb EU a zvýšit odpovědnost organizací za vlastní kybernetickou odolnost. NIS2 ukládá povinnost členským státům transponovat změny do svých právních řádů. Česká republika na tom pracuje formou zcela nového zákona o kybernetické bezpečnosti, jehož návrh vypracoval NÚKIB.
Dopady nové regulace pro povinné subjekty budou zejména v rozšíření působnosti pravidel. Zároveň se však s přechodem na nový zákon zachovává „stávající struktura” a pro povinné subjekty podle současného zákona by neměly přijít žádné převratné změny, jelikož většina dosavadních postupů a dokumentace zůstane nadále platná. Nejzásadnější změnou je mnohonásobné rozšíření okruhu povinných subjektů, vůči nimž budou uplatňována pravidla kybernetické bezpečnosti, by se mohl z původních stovek zvýšit až na více než 10 000. Řeč je zejména o poskytovatelích nově vymezených „regulovaných služeb“ v rozsáhlých odvětvích, která nově definuje prováděcí vyhláška k novému zákonu.
Připravované změny a nový zákon
Prováděcí vyhláška k novému zákonu rozšíří okruh regulovaných služeb na 22 sektorů (např. energetika, doprava, zdravotnictví, finanční trh, obranný a vesmírný průmysl, digitální infrastruktura apod.). Subjekty v těchto sektorech budou muset posoudit, zda jako střední nebo velký podnik poskytují službu regulovanou novou legislativou. V takovém případě mají povinnost se samy identifikovat a do 60 dnů od splnění podmínek hlásit tuto regulovanou službu na portálu NÚKIB. Následně NÚKIB rozhodne o registraci dané organizace a do 30 dnů od doručení rozhodnutí musí organizace dodat kontaktní a další požadované údaje. Stručně řečeno: regulace dopadne primárně na poskytovatele vyjmenovaných služeb ve stanovených oborech, přičemž rozsah povinností (vyšší či nižší režim) bude záviset na významu či velikosti organizace.
Spolu s novým zákonem o kybernetické bezpečnosti budou přijaty i jeho prováděcí předpisy (vyhlášky a nařízení vlády), které konkretizují například seznam regulovaných služeb, kritéria velikosti organizací, či podrobnosti oznamovacích a kontroverzních mechanismů. Finální znění těchto vyhlášek zpřesní, jaká jednotlivá odvětví a aktivity vstoupí do působnosti nové regulace (podle výčtu sektorů) a podle jakých kvantitativních kritérií (obrat, počet zaměstnanců apod.) se bude určovat, které subjekty budou poskytovat regulovanou službu.
Závěr
Kybernetická bezpečnost v ČR spojuje povinnosti stanovené zákonem o kybernetické bezpečnosti a dalšími relevantními právními předpisy s novými standardy vyplývajícími ze směrnice NIS2. Očekávaný nový zákon přinese přísnější rámec a širší působnost, avšak s dostatečným předstihem a postupným přechodným obdobím. Cílem je zajistit vyšší úroveň bezpečnosti důležitých informačních služeb a infrastrukturních systémů; organizace by měly reagovat včasnou přípravou implementovaných opatření, organizačních struktur a procesů pro hlášení a řešení incidentů.
Přechod na novou regulaci bude ze strany povinných subjektů vyžadovat soustavnou přípravu a adaptaci. Správce či provozovatel regulovaného systému by měl v prvé řadě zkontrolovat svou klasifikaci podle stávajících předpisů a dle potřeby ji aktualizovat. Následně je třeba doplnit nebo upravit vnitřní bezpečnostní dokumentaci (např. prohlášení o opatřeních), nastavit proces hlášení incidentů a zajistit, aby odpovědní pracovníci byli na nové postupy připraveni.
