Půjde-li vše hladce, nový zákon o kybernetické bezpečnosti se do vlády dostane v lednu. Do prázdnin by tak norma implementující směrnici NIS2 měla projít sněmovnou, aby mohla začít platit příští rok v říjnu. Pak budou mít firmy rok na to, aby se novým pravidlům přizpůsobily.
Podle advokáta Jana Tomíška z Rowan Legal by ale podniky s přípravami měly začít už teď. Jednodušší to přitom bude pro ty, kteří se už teď otázkami kyberbezpečnosti v nějaké podobě zaobírají. Naopak pro některé výrobní podniky bude implementace obtížnější.
ROWAN LEGAL je přední tuzemskou advokátní kanceláří specializující se na právo IT, kybernetickou bezpečnost, telekomunikace, řešení sporů a arbitráží, korporátní a obchodní právo, duševní vlastnictví a hospodářskou soutěž včetně veřejných zakázek. Mezi její klienty patří největší národní a mezinárodní korporace včetně veřejných institucí. V kancelářích v Praze a Brně zaměstnává přes 100 spolupracovníků, z toho více než 90 zkušených právníků pravidelně oceňovaných v tuzemských i mezinárodních oborových žebříčcích.
ROWAN LEGAL, partner seriálu Regulace podle NIS2.
Část rozhovoru jsme přepsali do textu, celý si jej můžete poslechnout ve formě podcastu na službách, jako je Google Podcast, Apple Podcast, Spotify, nebo přímo zde:
Zákon o kybernetické bezpečnosti už máme, podniky se podle něho řídí, přesto se připravuje jeho nová podoba. Proč je vůbec nový zákon potřeba? Nestačilo by to vyřešit novelou?
Důvodem pro přijetí nové regulace kybernetické bezpečnosti je evropská směrnice NIS2. Ta přináší řadu změn, rozšiřuje okruh subjektů, na které regulace dopadne. A samozřejmě by se to dalo řešit asi novelou stávajícího zákona, ale těch změn je tolik, že by zákon byl nepřehledný. Byla by tam řada paragrafů se spoustou odstavců, takové ty paragrafy 8a, b a podobně. Myslím, že pro uživatele je vlastně dobře, že budeme mít nový zákon, který vlastně nebude zbrusu nový. Staví na tom stávajícím a přebírá řadu paragrafů a ustanovení. Takže myslím, že ta cesta je správná.
Skončilo mezirezortní připomínkové řízení k novému zákonu. Připomínek došlo tolik, že jejich vypořádání zabralo přes 680 stran. Jaký čekáte další průběh legislativního procesu? Bude mít zákon na růžích ustláno?
Tak tím dalším krokem bude odeslání do legislativní rady vlády. To by podle informací z NÚKIBu mělo proběhnout na začátku října, což by znamenalo, že by se vláda návrhem zákona zabývala na začátku ledna. Čili v lednu by startoval legislativní proces směrem do sněmovny. První, druhé čtení, projednání ve výborech. Myslím si, že zatímco stávající zákon o kybernetické bezpečnosti prošel sněmovnou víceméně bez povšimnutí, bez nějaké kontroverze, tak už to tak jednoduché mít nebude. Je tam řada – řekl bych – třaskavých témat, která určitě budou vyvolávat diskuze, a bude se jednat o finální podobě zákona. Potřebovali bychom ho mít ve sbírce zákonů do října 2024, abychom stihli implementační lhůtu, kterou stanovuje Evropská unie. Jestli se to podaří stihnout, to je samozřejmě velká otázka.
Pokud se v lednu dostane zákon do sněmovny, stíhají se podniky na vše připravit?
Na splnění těch klíčových povinností bude lhůta jednoho roku. V praxi podniky budou mít čas do října 2025 na implementaci relevantních opatření. Jestli to stihnou, závisí na tom, jak velký podnik to je. U velkých podniků by neměl být problém to stihnout i za rok. Jim já vřele doporučuji zabývat se otázkou, jestli na ně NIS2 dopadne, už teď. Pak si mohou stanovit implementační plán, rozložit si to v čase a nakoupit potřebné kapacity. Dá se čekat, že v průběhu roku 2025 budou kapacity, i externí, na trhu chybět a bude složité si najmout odborníky. Protože poptávka po nich bude v tu chvíli vysoká.
Když se podíváme na připomínky, které došly, a že jich nebylo málo, některé jsou zásadní a některé zásadně odmítavé. Hrozí, že zákon může spadnout pod stůl a bude se celý znova předělávat?
To si moc nedokážu představit. Jakkoliv tam byla řada připomínek, neznamená to, že zákon vyvolává kontroverze jako celek. Může se stát, že v některých kontroverzních věcech, jako je bezpečnost dodavatelského řetězce, bude na vládě muset být přijato nějaké rozhodnutí nebo dohoda, která povede třeba k přepracování jednoho, dvou ustanovení. Ale nemyslím si, že by to znamenalo nutnost přepisovat celý zákon.
Pojďme si teď nová pravidla alespoň v obrysech představit. Do zákona jsou přetaveny požadavky Evropské směrnice NIS2. Ta působnost toho stávajícího kyberzákona značně rozšiřuje. Na koho nová právní úprava dopadá?
To rozšíření je skutečně značné. NÚKIB mluví o tom, že dnes dohlíží zhruba na 500 povinných osob a podle nové regulace to bude v rozsahu 6 až 10 tisíc. Zásadní rozdíl je jednak v záběru na sektory, které budou regulovány, a také v pohledu na velikost podniků. Doteď jsme povinné subjekty určovali podle významnosti služby, kterou poskytují. Nově to bude podle toho, v jakém sektoru podnikají a jestli splňují kritérium velikosti podniku. To znamená, že tam nově bude spousta IT firem, subjekty ve výrobním sektoru, nebo třeba v oblasti odpadového hospodářství. Nově tam spadnou i obce. Pro spoustu subjektů to bude úplná novinka.
Půjde se regulaci vyhnout tím, že se ten podnik opticky zmenší? Že se například část podniku vydělí do samostatné firmy?
Nepůjde to. Velikost podniku jako kritérium se posuzuje podle doporučení Evropské komise, která jinak slouží primárně pro oblast dotací a stanovuje kritéria pro střední a velký podnik. A kritéria zohledňují i propojené podniky. I když budu mít skupinu podniků se společným vlastnictvím nebo ovládáním, kde by jednotlivé podniky ta kritéria například střední velikosti nenaplnily, pokud je naplní v součtu, musíme je považovat za střední, nebo dokonce za velký podnik. Směrnice říká, že propojení se nemusí zohledňovat tam, kde subjekty nemají propojené IT systémy, kde každý má úplně jinou IT infrastrukturu. Ale toto rozlišování náš zákon neobsahuje. Já si třeba myslím, že tohle je špatně.
Čili je to jedno z míst, kde je náš zákon přísnější, než evropská regulace požaduje?
Ano. Já tomu rozumím. Mluvil jsem o tom s kolegy z NÚKIBu, kteří říkají, že pro ně z hlediska aplikace právní úpravy je velmi složité rozlišovat, jestli subjekty mají propojené systémy, nebo ne. Mohla by to být mezera nebo úniková cesta, jak se z té regulace dostat třeba i neoprávněně. Nicméně v praxi to bude znamenat, že zejména tady máme řadu městských organizací, které se tím stanou součástí městského koncernu a do regulace tak spadnou, a může to vést občas k absurdním výsledkům.
Směrnice používá dvojí metr podle typu povinných osob, mírnější regulace, takzvaný režim important, a přísnější povinnosti v režimu essential. V češtině jsou tato označení přinejmenším nešťastná až zavádějící, když z logiky věcí očekáváme, že to bude právě naopak, že přídavné jméno Důležité bude přináležet spíš k tomu přísnějšímu režimu a subjekty v kategorii Základní budou spadat pod regulaci mírnější. Poradil si s tím NÚKIB při přípravě zákona?
Za mě velmi dobře. Terminologie v NIS2 a vůbec struktura celé směrnice je velmi nešťastná. Myslím, že pro čtenáře je to hodně špatně uchopitelný právní předpis, i když to srovnáme s jinými produkty Evropské regulace. Oproti tomu třeba GDPR je skvěle čitelný předpis. Máme velké štěstí, že naše domácí legislativa je napsaná poměrně přehledně. NÚKIB zavádí pojem poskytovatele regulované služby a toho podle okolností řadí do takzvaného režimu vyšších povinností, nebo režimu nižších povinností.
Kde je ona dělící čára? Jak poznám, do které kategorie spadám?
Velmi hrubě tu dělící čáru jde narýsovat podle velikosti podniku. Neplatí to univerzálně. Velmi zjednodušeně lze říct, že pokud někdo nepřesahuje hranici velkého podniku, je jen podnikem středním, zpravidla bude v režimu nižších povinností. Pokud někdo přesáhne hranici velkého podniku, v tu chvíli už bude v režimu vyšších povinností. Ale z tohoto pravidla je řada výjimek.
Může se regulace vztahovat i na subjekty, které nedosáhnou vůbec ani té stanovené velikosti, které nejsou ani tím středním podnikem?
Jednou z oblastí, kde k tomu dochází, je třeba poskytování služeb vytvářejících důvěru. Pokud budu mít certifikační autoritu, která vydává kvalifikované certifikáty, stejně tak v oblasti telco, tak se laťka o stupeň snižuje. Jestliže nejsem mikropodnik, budu v režimu nižších povinností. Naopak, pokud jsem v těchto oborech střední podnik, spadám dokonce do režimu vyšších povinností.
Mohla by tato regulace dopadat i na živnostníky, na fyzické osoby podnikající?
Čistě teoreticky to možné je. V situaci, kdy bude ten živnostník poskytovatelem třeba služby vytvářející důvěru.
Jak jsou tuzemské firmy na nový kybernetický zákon připraveny? S čím se potýkají? Co řeší?
Situace je hodně různorodá. Když začnu od pozitivnějšího konce, kdo bude podle nové regulace třeba poskytovatelem řízené služby, to znamená manage service providerem, pro jiného bude vykonávat správu IT prostředků, ať už osobně, nebo na dálku, tyhle subjekty už dnes velmi často mají zaběhlý systém řízení bezpečnosti informací, často třeba postavený na principech normy ISO 27001, i když to nemají certifikované. A pro tyto subjekty regulace, zejména v režimu nižších povinností, nebude představovat dramatickou změnu. Naproti tomu, když se podívám na dopady NIS2 na výrobní podnik, jehož hlavní regulací dneska je BOZP, technické standardy a soukromoprávní smlouvy, pro ně to samozřejmě může být zásadní změna. Ty podniky už dnes nemohou kybernetickou bezpečnost ignorovat ani tak, protože když vás napadne ransomware a vyhodí vám výrobní linku, máte problém a nějaká pokuta od NÚKIBu je to nejmenší, co vás bude trápit. Ale to strukturované řízení bezpečnosti pro ně bude často novinka. Pro ně to může znamenat nutnost vynaložit větší úsilí, aby požadavku NIS2 a nového kybernetického zákona dostály.
V podcastu se dále věnujeme široce kritizovanému mechanismu bezpečnosti dodavatelského řetězce, poodhalíme, rozebereme, v jakých dalších ohledech jde česká úprava nad rámec povinností stanovených směrnicí a s jakými sankcemi v případě porušení povinností bude třeba počítat. Celý rozhovor si poslechněte na svých oblíbených podcastových službách, nebo přímo zde: