Česká republika stojí před revoluční změnou v digitální bezpečnosti. Přechod na systém samoidentifikace a další povinnosti nově zasáhnou tisíce firem. Ředitel Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Lukáš Kintr představil na konferenci Ekonomického deníku a České justice Právo a digitalizace hlavní pilíře nového zákona o kybernetické bezpečnosti. Koho se dotkne a jak?
Zákon, který ovlivní široké spektrum oborů v České republice, byznys nevyjímaje. V účinnost vstoupí 1. listopadu. Firmám a organizacím, na něž dopadne, přidává mnoho povinností. Zároveň ale klade důraz na jejich samostatnost a vlastní odpovědnost.
Lukáš Kintr zdůraznil, že NÚKIB sice s novým zákonem zpřísňuje i sankce, ale ty úřad použije vždy až jako poslední instanci. Zároveň je nová česká regulace přísnější než po členských státech žádá Evropa.
Nový režim: Tisíce subjektů a konec autoritativního určování
Hlavní změna, kterou nový zákon o kybernetické bezpečnosti přináší, je masivní růst regulovaných subjektů – z původních zhruba 400 na odhadovaných 6 000. Na další dopadne norma zprostředkovaně prostřednictvím nově zaváděné kontroly dodavatelských řetězců. Tento dramatický nárůst si vyžádal i změnu přístupu regulátora.
Dosavadní právní úprava (platila zhruba deset let) spoléhala na autoritativní přístup – NÚKIB sám v rámci správního řízení určoval, kdo je povinnou osobou.
Nový zákon se posouvá k samoidentifikaci, protože původní model by se v tak masivním měřítku stal neudržitelným. Úřad by administrativně nezvládl sám identifikovat a určovat tisíce nových subjektů.
To znamená, že každý subjekt musí sám posoudit, zda splňuje určující kritéria (která zákon o kybernetické bezpečnosti detailně popisuje v příslušných vyhláškách). Podle toho podnikne potřebné kroky. NÚKIB tak přenáší zodpovědnost za první krok přímo na firmy.
Ředitel Národního úřadu pro kybernetickou a informační bezpečnost Lukáš Kintr na Konferenci Ekonomického deníku a České justice Právo a digitalizace. Foto: Radek Čepelák
Lukáš Kintr upřesnil, že zákon o kybernetické bezpečnosti pracuje s dvouúrovňovým režimem regulace:
Režim vyšších povinností: Týká se zhruba jednoho tisíce subjektů. Patří sem dříve regulovaná kritická informační infrastruktura. Pro tyto subjekty nový zákon nepřinese příliš nových povinností, protože už dříve spadaly pod regulaci a jsou na vysokou úroveň zvyklé.
Režim nižších povinností: Týká se většiny z regulovaných, odhadem pěti tisíc subjektů. Povinnosti v tomto režimu představují základní minimum toho, co by dnes měl každý subjekt dělat v rámci zajišťování kybernetické bezpečnosti bez ohledu na zákonné požadavky. Firmy je mají plnit nikoliv kvůli regulaci, ale kvůli rizikům plynoucím z využívání kyberprostoru při jejich podnikání.
Konferenci Právo a digitalizace zahájil vydavatel Ekonomického deníku a České justice Ivo Hartmann. Foto: Radek Čepelák
Nezávislost a přísnost: Proč je Česko přísnější než Evropa?
Základní motivací k tvorbě nového zákona o kybernetické bezpečnosti byla evropská směrnice NIS 2, kterou Česká republika musela implementovat do svého legislativního prostředí. Ředitel NÚKIB ale připustil, že je česká úprava dokonce širší než evropská směrnice. Důvod je záměrný: zákon totiž řeší i otázky národní bezpečnosti a hrozby od nedůvěryhodných aktérů (například Čínu).
„Nepokrýváme jenom ten rozsah, který pokrývá směrnice NIS 2, ale pokrýváme další otázky, které z pohledu nás jako autority v oblasti kyberbezpečnosti a celé české bezpečnostní komunity dává smysl řešit, protože jsme na kyberprostoru více než závislí,“ řekl na konferenci Ekonomického deníku a České justice Právo a digitalizace Lukáš Kintr.
Ředitel Národního úřadu pro kybernetickou a informační bezpečnost Lukáš Kintr a Digital Legal Affairs Manager společnosti Vodafone Česká republika Patrik Walas. Foto: Radek Čepelák
Nová legislativa dále aktualizuje bezpečnostní požadavky a zpřesňuje hlášení kyberincidentů. NÚKIB za posledních deset let podle Kintra nasbíral zkušenosti, jaké informace v hlášeních chyběly. Cílem je tedy precizovat, co takové hlášení od regulovaného subjektu směrem k úřadu má obsahovat. Úřad klade důraz i na sdílení informací a prohlubování spolupráce na národní i mezinárodní úrovni.
Zajímavostí je, že i když Česká republika patří v Evropě v připravenosti na kyberútoky na první místo, což na konferenci potvrdila i Government Affairs Lead ze společnosti Microsoft pro region Česka, Slovenska a MaďarskaKateřina Anna Magna, prováděcí nařízení vlády pro zajišťování bezpečnosti dodavatelského řetězce stále schází.
Jak upozornil Kintr i dva přednášející právníci, jde o nařízení definující strategicky významné služby a takzvané nepominutelné funkce. Bez těchto nařízení úřad nemůže určit, na koho dopadá klíčový mechanismus kontroly dodavatelských řetězců.
Government Affairs Lead ze společnosti Microsoft pro region Česka, Slovenska a Maďarska Kateřina Anna Magnna. Foto: Radek Čepelák
Dodavatelské řetězce: Klíčové riziko a obava z právního vakua
Řízení dodavatelů představuje jeden z nejsložitějších prvků zákona o kybernetické bezpečnosti. Právník z advokátní kanceláře Sedláková Legal Jiří Hradský, upozornil, že i když je zákon účinný od 1. listopadu, české specifikum – mechanismus pro hodnocení bezpečnosti dodavatelských řetězců (zahrnuté v zákoně nad rámec NIS 2) nemá bez příslušných nařízení potřebný legislativní základ. Digital Legal Affairs Manager společnosti Vodafone Česká republika Patrik Walas k tomu dodal, že ačkoliv regulace ideově dává smysl, praktická implementace naráží na limity firemních kapacit, kde mnozí zákazníci nemají možnost přistupovat k dodavatelům s principem přiměřenosti a jen posílají blanketní, třicetistránkové dodatky.
Kintr souhlasil, že práce s dodavateli se stala klíčovou výzvou. Zdůraznil, že národní bezpečnost a ochrana kritické infrastruktury vyžaduje, aby subjekty řešily i to, kdo dodává klíčové součásti a jaké právní a geopolitické prostředí ho ovlivňuje, viz předchozí zmínka o Číně.
Právník z advokátní kanceláře Sedláková Legal Jiří Hradský. Foto: Radek Čepelák.
Kontrola a sankce: Miliony eur jen pro „velké ignoranty“
Nový zákon o kybernetické bezpečnosti zvyšuje horní hranice pokut. Lukáš Kintr však trvá na tom, že sankce NÚKIB použije až jako poslední možnost, pokud kontrolovaný subjekt zcela selže v plnění nápravných opatření. Úřad se podle něj vždy bude snažit nejprve pomáhat metodickým působením.
Kintr doplnil, že kontrolu ze strany NÚKIB úřad vždy předem ohlašuje – nedává podle něj smysl subjekty překvapovat, protože úřad potřebuje, aby kontrolovaný subjekt připravil dokumentaci a dal k dispozici respondenty pro kontrolu technických opatření.
Celý proces by měl probíhat takto:
Ohlášená kontrola (vychází z plánu kontrol) dokumentů a poté onsite kontrola technických a dalších opatření.
Zpracování protokolu s případně nalezenými nedostatky.
Stanovení nápravných opatření s realistickou lhůtou (ta může trvat týdny i déle než rok v závislosti na komplexitě).
Teprve pokud firmy lhůty zcela ignorují, přichází sankční řízení.
„Až když firmy stanovené lhůty ignorují a nenaplní nápravná opatření, tak teprve přichází sankční řízení. Z našeho pohledu se kontrolovaná osoba musí stát velkým ignorantem, abychom se dostali k sankčnímu řízení,“ vysvětlil Kintr. NÚKIB má navíc povinnost stanovit pokutu tak, aby byla přiměřená a nebyla likvidační, což úřad uplatňoval i v minulosti v případě sankcí za neplnění dosavadního zákona o kybernetické bezpečnosti.
Zcela zaplněný prostor auditoria Konference Ekonomického deníku a České justice Právo a digitalizace. Foto: Radek Čepelák
Ekonomický deník a Česká justice děkují partnerům konference: Vodafone Czech Republic, advokátním kancelářím White & Case, Matzner & Vítek a společnosti OpenSSL.
Abychom poskytli co nejlepší služby, my a naši partneři používáme k ukládání a/nebo přístupu k informacím o zařízeních, technologie jako soubory cookies. Souhlas s těmito technologiemi nám a našim partnerům umožní zpracovávat osobní údaje, jako je chování při procházení nebo jedinečná ID na tomto webu. Nesouhlas nebo odvolání souhlasu může nepříznivě ovlivnit určité vlastnosti a funkce.
Kliknutím níže vyjádřete souhlas s výše uvedeným nebo proveďte podrobnější rozhodnutí. Vaše volby budou použity pouze na tomto webu. Nastavení můžete kdykoli změnit, včetně odvolání souhlasu, pomocí přepínačů v Zásadách cookies nebo kliknutím na tlačítko Spravovat souhlas ve spodní části obrazovky.
Funkční
Vždy aktivní
Technické uložení nebo přístup je nezbytně nutný pro legitimní účel umožnění použití konkrétní služby, kterou si odběratel nebo uživatel výslovně vyžádal, nebo pouze za účelem provedení přenosu sdělení prostřednictvím sítě elektronických komunikací
Předvolby
Technické uložení nebo přístup je nezbytný pro legitimní účel ukládání preferencí, které nejsou požadovány odběratelem nebo uživatelem
Statistiky
Technické uložení nebo přístup, který se používá výhradně pro statistické účelyTechnické uložení nebo přístup, který se používá výhradně pro anonymní statistické účely. Bez předvolání, dobrovolného plnění ze strany vašeho Poskytovatele internetových služeb nebo dalších záznamů od třetí strany nelze informace, uložené nebo získané pouze pro tento účel, obvykle použít k vaší identifikaci.
Marketing
Technické uložení nebo přístup je nutný k vytvoření uživatelských profilů za účelem zasílání reklamy nebo sledování uživatele na webových stránkách nebo několika webových stránkách pro podobné marketingové účely.
