Stránky o kybernetické bezpečnosti

První kroky

Stále roste závislost společnosti a podnikání firem na informačních a komunikačních technologiích a s tím související nárůst kybernetických hrozeb.

Proto Evropský parlament a Rada EU vydali směrnici EU NIS2, která stanovuje pravidla, povinnosti a odpovědnosti v oblasti kybernetické bezpečnosti pro členy EU, kteří ji musí transponovat do své legislativy. Požadavky na bezpečnostní opatření přitom vycházejí z mezinárodně uznávaných standardů, jako je např. řada norem ISO 27000.

implementaceZOKB

Cílem směrnice NIS2 je posilovat unijní kybernetickou bezpečnost a sblížit pravidla pro její zajišťování napříč Evropskou unií. Směrnice proto přináší úpravy dosavadních požadavků, rozšíření regulace na řadu nových společností a organizací a další změny, které bude muset Česká republika, stejně jako ostatní členské státy, do svého zákona o kybernetické bezpečnosti zapracovat.

Změny, které evropská bezpečnostní směrnice NIS2 přináší jsou natolik zásadní, že NÚKIB k tomuto úkolu přistoupil přípravou zcela nového zákona o kybernetické bezpečnosti a jeho prováděcích předpisů. Nový Zákon o kybernetické bezpečnosti byl v létě přijat a k 1.11. vstoupil v účinnost. Zákonem se:

  • mění se princip určení subjektu, který spadá pod legislativu ZoKB,
  • zavádí princip samoindentifikace,
  • nově se se neurčuje podle dopadu, ale podle velikosti (pozor na propojené podniky),
  • zjednodušuje určení subjektu - nynější rozdělení (VIS, KI a ZS) je nahrazeno „poskytovatelem regulované služby“,
  • zavádí dva režimy rozsahu povinností (vyšší, nižší).
  • zavádí větší sankce za neplnění povinností! (současní legislativa max. 5 mil. Kč, nová až 250 mil. Kč nebo 2% celosvětového obratu).

Vzhledem k mým potřebám zde uvádím Implementaci ZoKB, která vyplývá pro firmu, která je poskytovatel regulované služby v režimu vyšších povinností.

samoindentifikace

Samoindentifikace

Oproti předchozí právní úpravě je stanoven odlišný způsob identifikace firem jejich zařazení do regulace. Samoidentifikace je proces posouzení, zda firma spadá pod ZoKB, který musí každá firma realizovat nejdříve.

Velikost podniku

Firma nejdříve definuje svou velikost a následně posoudí, zda služba, kterou poskytuje v daném odvětví, naplňuje kritéria pro definici regulované služby. Službu lze považovat za regulovanou při splnění těchto kritérií. V případě kladného posouzení se registruje u Úřadu jako tzv. poskytovatel regulované služby a začne plnit své zákonné povinnosti.

Velikost podniku je uvažována podle doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků:

  • Mikropodnik - počet zaměstnanců do 10, roční obrat nebo roční bilanční suma do 2 mil. Eur,
  • Malý podnik - počet zaměstnanců do 50, roční obrat nebo roční bilanční suma do 10 mil. Eur,
  • Střední podnik - počet zaměstnanců do 250, roční obrat do 50 mil Eur nebo roční bilanční suma do 43 mil. Eur,

Při počítání velikosti podniku je třeba posuzovat i relevantní vazby mezi majetkově spřízněnými organizacemi. Každá firma musí:

  • nejdříve určit svou velikost a následně posoudit, zda služba, kterou poskytuje v daném odvětví, naplňuje kritéria pro definici regulované služby.
  • identifikovat konkrétní regulovanou službu v Odvětvích a Kritériích, která jsou uvedena v prováděcí vyhlášce k Zákonu - Vyhláškce č. 408/2025 o regulovaných službách.

Regulovaná služba je stěžejním institutem ZoKB. Od ní se odvíjí podstatná část činností a povinností regulovaných subjektů. Určujícím znakem regulované služby je skutečnost, že její narušení by mohlo mít významný dopad na zabezpečení důležitých společenských nebo ekonomických činností. Principiálně tedy musí jít o službu, která je určitým způsobem významná pro celospolečenské fungování a zajištění důležitých společenských nebo ekonomických činností.

Kritéria

  • vymezují v daném Odvětví významnost dopadu služby na zabezpečení důležitých společenských nebo ekonomických činností.
  • rozvíjí definici regulované služby obsaženou v ustanovení Zákona věnovaném definicím a vymezují, které služby a ve kterých odvětvích jsou považovány za takové, jejichž narušení by mohlo mít významný dopad na zabezpečení důležitých společenských nebo ekonomických činností.

S ohledem na široký záběr Kritérií v jednotlivých Odvětvích lze předpokládat, že většina poskytovatelů regulované služby bude do regulace kybernetické bezpečnosti zařazena právě na základě jejich naplnění. Pojetí Kritérií regulovaných služeb vychází z předchozí úpravy identifikace provozovatelů základních služeb.

Určení režimu poskytovatele regulované služby

Součástí samoindentifikace je i určení režimu poskytovatele regulované služby, tj. stanovení míry povinností uložených poskytovateli regulované služby podle tohoto Zákona. Režim poskytovatele regulované služby odpovídá režimu stanovenému pro regulovanou službu podle výše zmíněné Vyhlášky - režim vyšších nebo nižších povinností.

Službu lze považovat za regulovanou při splnění těchto kritérií. V případě kladného posouzení se firma registruje u Úřadu jako tzv. poskytovatel regulované služby v příslušném režimu a začne plnit své zákonné povinnosti.

Poskytovatel regulované služby, který naplní kritéria pro alespoň jednu regulovanou službu v režimu vyšších povinností, má stanoven režim vyšších povinností a plní povinnosti plynoucí z tohoto Zákona v režimu vyšších povinností vůči všem regulovaným službám, které poskytuje.

NUKIB může při splnění podmínek stanovených touto vyhláškou změnit rozhodnutím režim poskytovatele regulované služby.

Back to Top