Nový zákon o kybernetické bezpečnosti dopadne na 6 tisíc subjektů. Povinnosti se nevyhnou municipality či podniky z energetiky a logistiky

Nová pravidla přenášejí odpovědnost z IT oddělení přímo na management a dělí subjekty do dvou režimů podle významu služby. Kybernetické incidenty se budou muset hlásit už do 24 hodin od zjištění a organizace dostanou na zavedení bezpečnostních opatření pouze rok. O tom, kdo regulaci podléhá, rozhodne NÚKIB; v přísnějším režimu pak bude povinný i audit kybernetické bezpečnosti. Povinnost dopadne podle odhadů na 6 tisíc. Týkat se může například poskytovatelů cloudových služeb a datových center, dopravních a logistických firem, podniků z energetiky, výroby, vodohospodářství, zdravotnických zařízení, či digitální infrastruktury, ale také některých úřadů, krajů a obcí.

Nejde jen o IT oddělení

Pro vedení organizací je důležité, že nové povinnosti nejsou jen technická záležitost pro IT specialisty. „Zákon počítá s tím, že instituce budou muset vědět, které jejich služby a systémy jsou důležité, kdo za ně odpovídá a jak budou postupovat při problému. Odpovědnost se tak v praxi přesouvá zejména na management, který bude muset činit důležitá rozhodnutí a alokovat prostředky pro dosažení souladu s požadavky legislativy. Pro mnoho subjektů to bude znamenat nad rámec technologických opatření také nové vnitřní směrnice, role i procesy,“ říká Radek Dvořáček, senior manažer skupiny Moore Czech Republic

Firmy i instituce mají přísné lhůty

Jednou z největších novinek je mechanismus takzvané regulované služby. Ty definuje právě nový zákon o kybernetické bezpečnosti. Organizace poskytující tyto činnosti pak mohou být zařazeny do režimu nižších nebo vyšších povinností. Už tady se objevují konkrétní lhůty: pokud subjekt splní podmínky, musí službu ohlásit do 60 dnů prostřednictvím Portálu NÚKIB. Po doručení rozhodnutí o registraci pak musí do 30 dnů nahlásit další údaje, například kontaktní informace a další předepsané údaje, a změny těchto údajů hlásit do 14 dnů.

Pouze rok na přípravu

Zákon také výslovně počítá s povinností hlásit kybernetické incidenty v určených lhůtách. Prvotní hlášení má přijít do 24 hodin od zjištění incidentu, další oznámení v určených případech do 72 hodin a závěrečná zpráva do 30 dnů. Zároveň ukládá regulovaným subjektům zavádět technická i organizační bezpečnostní opatření. S plněním těchto povinností musí začít nejpozději do 1 roku od doručení rozhodnutí o registraci.

„Rozdíl mezi nižšími a vyššími povinnostmi bude v praxi dobře vidět. V režimu nižších povinností půjde například o to, aby organizace měla základní přehled co a jak musí chránit, nastavila základní bezpečnostní pravidla a uměla incident nahlásit pomocí Portálu NÚKIB ,“ říká Radek Dvořáček, senior manažer skupiny Moore Czech Republic a dodává: „V režimu vyšších povinností bude rozsah širší. Instituce bude muset mít robustnější řízení bezpečnosti, musí být výrazně důslednější v práci s dodavateli, přístupovými právy, evidencí událostí nebo kontinuitou provozu. Zákon výslovně počítá také s penetračními testy a například obnovením provozu po nečekané události zvané.“

Zákon tak představuje jednu z největších změn v této oblasti za poslední roky. Pro laickou veřejnost je podstatné hlavně to, že kybernetická bezpečnost už není okrajové téma pro úzkou skupinu specialistů. Stává se z ní povinnost, která dopadne na tisíce firem i nefiremních subjektů. A protože zákon zavádí konkrétní termíny, nové ohlašovací povinnosti i rozdílný režim podle významu služby, bude pro řadu organizací důležité začít se na pravidla připravovat včas.