Článek
Článek si také můžete poslechnout v audioverzi.
Nový zákon o kybernetické bezpečnosti schválili poslanci a nyní čeká na schválení Senátem. Podle nynějších odhadů by měl začít platit po nezbytném podpisu prezidenta v červenci 2025.
Nenechte se zaskočit legislativními změnami.
Pro každého podnikatele je důležité průběžně sledovat legislativní změny a informovat se o jejich dopadu na vlastní podnikání. Je-li třeba provést v souvislosti se změnami legislativy jakékoliv kroky, vždy je dobré se na ně včas připravit. Proto připravují Seznam Zprávy ve spolupráci s advokátními kancelářemi a s právníky předních poradenských společností Právní poradnu pro podnikatele.
Sledujte důležité změny
Součástí nového zákona je také evropská směrnice č. 2022/2555 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, známá jako „směrnice NIS2“. Ta se dotkne překvapivě velkého množství firem.
První skupinu tvoří střední či velké podniky v regulovaných odvětvích, konkrétně firmy s více než 50 zaměstnanci nebo s ročním obratem nad 10 milionů eur (tzv. velikostní kritérium), dále půjde o podniky působící v odvětví, jako je energetika, doprava, digitální infrastruktura, zdravotnictví, IT služby, poštovní služby a další (tzv. odvětvové kritérium).
O čem nový zákon je?
- Zákon mimo jiné umožní prověření dodavatelů, kteří by mohli představovat pro stát bezpečnostní riziko, a také vyloučení jejich technologií.
- Mechanismus prověřování dodavatelského řetězce má sice směřovat jen do nejkritičtějších částí infrastruktury, vláda bude moci zákaz dodavatele rozšířit i do vysoce kritické infrastruktury.
- Kabinet má stanovovat strategicky významné služby a posuzovat nejen dodavatele, ale i bezpečnost země, ze které pochází.
- Hlavním smyslem je dosáhnout toho, aby důležité organizace zaváděly preventivní kroky k posílení své kybernetické bezpečnosti, včetně hlášení a zvládání kybernetických bezpečnostních incidentů.
Nepřímý dopad však směrnice bude mít i na stovky menších a středních podniků, které se budou muset přizpůsobit novým bezpečnostním standardům tak, aby mohly nadále spolupracovat se zákazníky přímo regulovanými novým zákonem.
Základními povinnostmi společnými pro všechny subjekty přímo dotčené novým zákonem bude především provedení sebeidentifikace a ohlášení na portálu NÚKIB, přijetí bezpečnostních a preventivních opatření napříč dodavatelským řetězcem a v neposlední řadě i hlášení incidentů.
„Konkretizace povinností a opatření vyplývajících ze směrnice NIS2 zůstává na jednotlivých členských státech EU, které ji musí promítnout do svého národního právního řádu. Ve výsledku tak mohou být některé povinnosti v různých členských státech EU odlišné,“ řekl před časem Seznam Zprávám Pavel Amler, vedoucí advokát Havel & Partners.
Detailní přehled povinností je dostupný na oficiálních stránkách NÚKIB, nicméně významný je důraz na aktivní zapojení vrcholového managementu regulovaných firem.
„Za implementaci kybernetických bezpečnostních opatření bude zodpovědné vedení společnosti. Tím se vlastně téma kybernetické bezpečnosti posouvá z čistě technické roviny do oblasti strategického řízení podniku,“ vysvětluje Dalibor Kovář z Havel & Partners.
Týká se zákon o kybernetické bezpečnosti i vás?
Pro určení, zda vaše společnost bude dotčena povinnostmi dle nZKB, můžete využít kalkulačku NÚKIB dostupnou na https://portal.nukib.gov.cz/#kalkulacka.
Kalkulačka je ale čistě orientační a nemůže nahradit posouzení postavení vaší společnosti odborníkem.
Jednatelé či jiní členové statutárních orgánů nyní budou osobně odpovědní za dodržování nové bezpečnostní regulace, a to potenciálně i z trestně-právního hlediska. Snahou je vtáhnout vedení firem do zajišťování kybernetické bezpečnosti a motivovat ho k tomu, aby ve firmě vše fungovalo podle předpisů a aby k regulaci přistoupilo vedení skutečně zodpovědně a věnovalo jí odpovídající pozornost.
„Jedná se o moderní a funkční přístup, který je zejména na evropské úrovni čím dál častější,“ říká Zdeněk Kučera, advokát a partner advokátní kanceláře Dentons.
Neznalost zákona, jak víme, nikoho neomlouvá. „V případě porušení pravidel hrozí členům statutárních orgánů mimo jiné osobní odpovědnost za způsobenou škodu, či nemajetkovou újmu, ručení věřitelům za dluhy společnosti a vyloučení z funkce a zákaz výkonu funkce až na tři roky pod sankcí až ve výši 20 milionů korun,“ upozorňuje Kučera.
Slováci nZKB nepodceňují
Slovensko je s přijetím zákona vycházejícího z evropské směrnice NIS2 o něco napřed. Firmy na Slovensku již musely podstoupit proces sebeidentifikace, jestli se jich nový zákon dotýká, a vše nasvědčuje tomu, že představitelé firem jsou obezřetní a nechtějí nic zanedbat. Přestože původní odhady hovořily o přibližně devíti tisících regulovaných subjektech, které se budou muset zákonu podřídit, nakonec se jich dobrovolně nahlásilo více než 15 tisíc.
Čelní představitelé firem budou nově muset projít školením týkajícím se kybernetické bezpečnosti a podílet se na dohledu, zda se ve firmě pravidla dodržují. Osobní odpovědnost člena statutárního orgánu přitom platí bez ohledu na jeho technickou kvalifikaci a této odpovědnosti se nelze zbavit ani ji omezit.
„Ve zkratce je top management odpovědný za to, že subjekt, kterého se zákon dotýká, implementuje a přijme veškerá opatření, která jsou nezbytná, a dále dohlédne na to, že tato opatření budou dodržována. K tomu musí samozřejmě také alokovat nezbytné zdroje,“ přibližuje problematiku advokát. Členové statutárních orgánů přitom musejí dodržovat povinnost péče řádného hospodáře, která zahrnuje také právě oblast kybernetické bezpečnosti.
