Nový zákon o kybernetické bezpečnosti posílá tisíce firem do právního minového pole. Velké a strategicky významné firmy si budou muset hlídat bezpečnost svých dodavatelů. Standardizují smlouvy a menší a střední podniky kvůli tomu ztratí vyjednávací sílu. Na Konferenci Ekonomického deníku a České justice Právo a digitalizace na to upozornil právník z advokátní kanceláře Sedláková Legal Jiří Hradský.

Prvního listopadu vstoupí v účinnost nový zákon o kybernetické bezpečnosti. České firmy proto podle Jiřího Hradského čeká komplexní audit smluv a s tím spojený nárůst nákladů. Zákon totiž nově zavádí přísná pravidla pro to, jak firmy pracují se svými dodavateli a subdodavateli. Regulace sice dopadá hlavně na velké hráče, v praxi ale nerovnost vyjednávací síly nutí menší subjekty přijímat často nevýhodné smluvní dodatky.

Zákon mění smluvní praxi: Závazek k povinnostem

Cíl zákona je jednoduchý: zabránit útočníkům, aby se dostali k citlivým datům a do kritických sítí přes slabě chráněnou externí firmu. Hradský zdůraznil, že povinnosti řídit dodavatele dopadnou na všechny regulované subjekty, ať už se jedná o režim takzvaných nižších nebo vyšších povinností. Specifika řízení bezpečnosti dodavatelských řetězců pak budou platit pro firmy, které zajišťují kritické služby pro stát (jako jsou telekomunikace nebo energetika).

konference mluvčí
Právník z advokátní kanceláře Sedláková Legal Jiří Hradský Foto: Radek Čepelák.

Zákon proto podle Hradského vyžaduje, aby firmy, na které dopadne:

  • Smluvně zavázaly dodavatele: Musí právně zajistit, že jejich subdodavatelé dodržují bezpečnostní požadavky. Smluvní dokumentace musí obsahovat náležitosti, které vyžaduje zákon o kybernetické bezpečnosti (respektive jednotlivé vyhlášky). Vytváří se tak řetězec právní odpovědnosti.
  • Řídily subdodavatele: Firmy musí provádět audity a pravidelně kontrolovat zabezpečení u dodavatelů, kteří pro ně dělají nepominutelné (klíčové) funkce.
  • Zmapovaly rizika: Musí pečlivě zmapovat, kde všude v dodavatelském řetězci hrozí riziko.

Jde o zásadní obrat: Firmy se nemohou chránit jen samy, ale právně odpovídají i za bezpečnost svých partnerů, míní Hradský.

konference účastníci
Účastníci prvního bloku Konference Ekonomického deníku a České justice Právo a digitalizace: moderátorka Alžběta Vejvodová, ředitel Národního úřadu pro kybernetickou a informační bezpečnost Lukáš Kintr, Digital Legal Affairs Manager společnosti Vodafone Česká republika Patrik Walas, ředitelka pro vládní vztahy ze společnosti Microsoft pro region Česka, Slovenska a Maďarska Kateřina Anna Magnna a právník z advokátní kanceláře Sedláková Legal Jiří Hradský. Foto: Radek Čepelák

„Deka“ pro malé firmy: Nerovnost vyjednávání

Jiří Hradský upozornil, že účinností zákona o kybernetické bezpečnosti dochází k plošné změně smluv a přenášení povinností. To představuje zásadní právní problém. „Všechny ty subjekty, které na ně navazují a které poskytují nějaké strategicky významné služby nebo zajišťují nepominutelné funkce, musí se smluvně zavázat k těmto povinnostem,“ řekl Hradský.

Velké korporace ale nemají čas šít změny pro každého dodavatele na míru. Menší firmy proto automaticky nutí přijímat často nevýhodné blanketní dodatky. „Menší dodavatelé dostanou od korporace ´deku´ právních povinností, které si nemohou dovolit vyjednávat, a musí je beze zbytku přijmout. To pro ně implementaci zákona o kybernetické bezpečnosti zbytečně komplikuje a zvyšuje jejich právní nejistotu,“ vysvětlil právník.

Účastníci prvního bloku Konference Ekonomického deníku a České justice právo a digitalizace: Digital Legal Affairs Manager společnosti Vodafone Česká republika Patrik Walas, ředitelka pro vládní vztahy ze společnosti Microsoft pro region Česka, Slovenska a Maďarska Kateřina Anna Magnna a právník z advokátní kanceláře Sedláková Legal Jiří Hradský. Foto: Radek Čepelák

A platí to i obráceně. Do regulace nově spadnou tisíce společností, které se klasifikují jako střední podniky. Těmto firmám dodávají mnohonásobně větší dodavatelé například IT infrastrukturu. Právě tyto střední podniky tak budou čelit standardizovaným podmínkám dodavatelů. Nebudou mít bohužel žádnou možnost ovlivnit obsah smluvní dokumentace a nastavená bezpečnostní opatření.

S obavami Hradského souzní i Digital Legal Affairs Manager z Vodafonu Patrik Walas. Ten varoval, že takto nastavená regulace v dodavatelském řetězci povede ke zdražení služeb pro koncové zákazníky.

Mohlo by vás zajímat

konference účastníci

Ředitel Národního úřadu pro kybernetickou a informační bezpečnost Lukáš Kintr pak připustil, že česká národní úprava je přísnější než evropská směrnice NIS 2. Úřad takto postupuje, protože musí chránit kritické sektory před strategickými hrozbami od cizích státních aktérů, kde dodavatelé představují častý cíl.

konference vydavatel
Konferenci Právo a digitalizace zahájil vydavatel Ekonomického deníku a České justice Ivo Hartmann. Foto: Radek Čepelák

Poučení z GDPR a role špionáže

Podle Jiřího Hradského se firmy musí připravit na to, že požadavky zákona o kybernetické bezpečnosti zvednou cenu pro lokální poskytovatele a subdodavatele. Stejný mechanismus trh zažil u nařízení GDPR, kde firmy také musely řešit komplexní změny smluv a definování odpovědnosti za data. Zákon o kybernetické bezpečnosti je podle něj v podstatě jakýmsi „GDPR pro kybernetickou bezpečnost.“

Government Affairs Lead ze společnosti Microsoft pro region Česka, Slovenska a Maďarska Kateřina Anna Magnna k tomu doplnila, že právě riziko útoků, které neusilují o peníze, ale o strategickou špionáž, je důvodem, proč je přísná ochrana dodavatelského řetězce u kritické infrastruktury naprosto nezbytná.

Jiří Hradský na závěr potvrdil, že nová legislativa přinese sice zvýšení komplexity regulace, ale musí zajistit dlouhodobou udržitelnost kritických služeb státu a byznysu.

konference účastníci
Zcela zaplněný prostor auditoria Konference Ekonomického deníku a České justice Právo a digitalizace. Foto: Radek Čepelák

Ekonomický deník a Česká justice děkují partnerům konference: Vodafone Česká republika, advokátním kancelářím White & Case, Matzner & Vítek a společnosti OpenSSL.