Do 17. října měly země EU implementovat novou kybernetickou směrnici NIS2. U nás k tomu zatím nedošlo, ale zákon už je projednáván v Poslanecké sněmovně. Regulace se má podle aktuálního návrhu patnáctinásobně rozšířit, a nově se tedy týkat více než šesti tisíc tuzemských podniků a organizací. Detaily vysvětluje v rozhovoru Martin Roub, expert na kyberbezpečnost z poradenské a technologické společnosti Deloitte.

Co je směrnice NIS2?

NIS2 navazuje na předchozí existující směrnici NIS. Její novou verzi si odhlasovaly členské státy EU. Ty jsou povinné ji do poloviny letošního října implementovat v rámci svých vlastních zákonů. Ve většině zemí však došlo ke zpoždění, což se týká i Česka.

Cílem nové, ale i předchozí verze je hlavně ochránit evropské podniky před kybernetickými útoky a také nastavit minimální úroveň ochrany napříč EU. Samotná směrnice určuje jen nejnutnější opatření a konkrétní podoba pak závisí na jednotlivých zemích.

Kterých firem se dotkne?

NIS2 se na evropské úrovni vztahuje na střední a velké podniky z veřejného i soukromého sektoru s obratem nad deset milionů eur či více než padesáti zaměstnanci působící v jedné z desítek vydefinovaných služeb. Tedy například na ty, které zajišťují výrobu a distribuci elektřiny, zdravotní péči nebo poštovní služby.

NIS2 tedy musí aplikovat subjekty, kterým kyberútoky nejvíce hrozí?

Tak by to bylo ideální, ale bohužel je to pojato více plošně. Tuzemský návrh momentálně plánuje rozšířit regulované subjekty více než patnáctinásobně, konkrétně ze zhruba čtyř set na více než šest tisíc subjektů.

Nově mezi ně má spadat například i potravinářský sektor, ale týkat se má také některých masokombinátů, domovů důchodců nebo čistíren odpadních vod – tedy subjektů, které opravdu nepatří mezi ty, na něž by měla povinná kyberbezpečnost dopadat. Řadě středních podniků to tak přinese nadbytečnou administrativní zátěž.

Jaké povinnosti dotčené subjekty čekají?

Opatření jsou dvojího druhu. První jsou organizační, jde například o zpracování bezpečnostní dokumentace či školení v oblasti kyberbezpečnosti. Druhým typem jsou technická opatření, pod která patří například detekce a řešení bezpečnostních událostí či incidentů nebo zajištění fyzické bezpečnosti podnikových prostor a ICT prostředků.

Pokud povinnosti subjekty nesplní, hrozí jim pokuta až do výše 250 milionů korun, případně dvě procenta čistého celosvětového ročního obratu – podle toho, která částka bude vyšší.

Liší se nějak návrh českého zákona od verzí jiných evropských států?

U nás je NIS2 implementována skrze návrh nového zákona o kybernetické bezpečnosti. Ve srovnání se zahraničními úpravami je návrh specifický, místy i o něco přísnější. První odlišnost je v rozsahu subjektů, kam oproti úpravám v ostatních zemích spadá i vojenský průmysl. Druhou odlišností, která je součástí návrhu zákona, je také zahrnutí bezpečnostního screeningu ICT dodavatelů do strategických sítí státu.

Jak byste tedy český návrh celkově zhodnotil?

Přestože současný návrh není bezchybný, klíčové je, že odpovědnost za zákaz potenciálně rizikového poskytovatele IT služeb přebírá vláda, což dává smysl vzhledem k jejímu demokratickému mandátu. Jsem také přesvědčen, že stojí za to, aby byl udržen princip schvalování dodavatelů do nejcitlivějších sítí.

Pokud by mělo dojít k úpravám, bylo by vhodné přesněji definovat, kde opatření platí, nabídnout telekomunikačním operátorům přechodná období pro přizpůsobení technologií nebo i zvážit finanční kompenzace.

Proces v Poslanecké sněmovně ale může přinést mnoho změn, včetně komplexních pozměňovacích návrhů, a velkou roli budou hrát také prováděcí vyhlášky. Jedná se tedy o dynamickou situaci, kterou spolu s našimi klienty z řad tuzemských firem pozorně sledujeme, protože jakékoli konečné rozhodnutí na ně bude mít dopad.