Pokuta i placeni skody. Za kyberbezpecnost ponesou odpovednost sefove firem

Ondrej Katz

Clanek si take muzete poslechnout v audioverzi.

Novy zakon o kyberneticke bezpecnosti schvalili poslanci a nyni ceka na schvaleni Senatem. Podle nynejsich odhadu by mel zacit platit po nezbytnem podpisu prezidenta v cervenci 2025.

Soucasti noveho zakona je take evropska smernice c. 2022/2555 o opatrenich k zajisteni vysoke spolecne urovne kyberneticke bezpecnosti v Unii, znama jako ,,smernice NIS2". Ta se dotkne prekvapive velkeho mnozstvi firem.

Prvni skupinu tvori stredni ci velke podniky v regulovanych odvetvich, konkretne firmy s vice nez 50 zamestnanci nebo s rocnim obratem nad 10 milionu eur (tzv. velikostni kriterium), dale pujde o podniky pusobici v odvetvi, jako je energetika, doprava, digitalni infrastruktura, zdravotnictvi, IT sluzby, postovni sluzby a dalsi (tzv. odvetvove kriterium).

O cem novy zakon je?

  • Zakon mimo jine umozni provereni dodavatelu, kteri by mohli predstavovat pro stat bezpecnostni riziko, a take vylouceni jejich technologii.
  • Mechanismus proverovani dodavatelskeho retezce ma sice smerovat jen do nejkritictejsich casti infrastruktury, vlada bude moci zakaz dodavatele rozsirit i do vysoce kriticke infrastruktury.
  • Kabinet ma stanovovat strategicky vyznamne sluzby a posuzovat nejen dodavatele, ale i bezpecnost zeme, ze ktere pochazi.
  • Hlavnim smyslem je dosahnout toho, aby dulezite organizace zavadely preventivni kroky k posileni sve kyberneticke bezpecnosti, vcetne hlaseni a zvladani kybernetickych bezpecnostnich incidentu.

Neprimy dopad vsak smernice bude mit i na stovky mensich a strednich podniku, ktere se budou muset prizpusobit novym bezpecnostnim standardum tak, aby mohly nadale spolupracovat se zakazniky primo regulovanymi novym zakonem.

Zakladnimi povinnostmi spolecnymi pro vsechny subjekty primo dotcene novym zakonem bude predevsim provedeni sebeidentifikace a ohlaseni na portalu NUKIB, prijeti bezpecnostnich a preventivnich opatreni napric dodavatelskym retezcem a v neposledni rade i hlaseni incidentu.

,,Konkretizace povinnosti a opatreni vyplyvajicich ze smernice NIS2 zustava na jednotlivych clenskych statech EU, ktere ji musi promitnout do sveho narodniho pravniho radu. Ve vysledku tak mohou byt nektere povinnosti v ruznych clenskych statech EU odlisne," rekl pred casem Seznam Zpravam Pavel Amler, vedouci advokat Havel & Partners.

Detailni prehled povinnosti je dostupny na oficialnich strankach NUKIB, nicmene vyznamny je duraz na aktivni zapojeni vrcholoveho managementu regulovanych firem.

,,Za implementaci kybernetickych bezpecnostnich opatreni bude zodpovedne vedeni spolecnosti. Tim se vlastne tema kyberneticke bezpecnosti posouva z ciste technicke roviny do oblasti strategickeho rizeni podniku," vysvetluje Dalibor Kovar z Havel & Partners.

Tyka se zakon o kyberneticke bezpecnosti i vas?

Kalkulacka je ale ciste orientacni a nemuze nahradit posouzeni postaveni vasi spolecnosti odbornikem.

Jednatele ci jini clenove statutarnich organu nyni budou osobne odpovedni za dodrzovani nove bezpecnostni regulace, a to potencialne i z trestne-pravniho hlediska. Snahou je vtahnout vedeni firem do zajistovani kyberneticke bezpecnosti a motivovat ho k tomu, aby ve firme vse fungovalo podle predpisu a aby k regulaci pristoupilo vedeni skutecne zodpovedne a venovalo ji odpovidajici pozornost.

,,Jedna se o moderni a funkcni pristup, ktery je zejmena na evropske urovni cim dal castejsi," rika Zdenek Kucera, advokat a partner advokatni kancelare Dentons.

Neznalost zakona, jak vime, nikoho neomlouva. ,,V pripade poruseni pravidel hrozi clenum statutarnich organu mimo jine osobni odpovednost za zpusobenou skodu, ci nemajetkovou ujmu, ruceni veritelum za dluhy spolecnosti a vylouceni z funkce a zakaz vykonu funkce az na tri roky pod sankci az ve vysi 20 milionu korun," upozornuje Kucera.

Slovaci nZKB nepodcenuji

Slovensko je s prijetim zakona vychazejiciho z evropske smernice NIS2 o neco napred. Firmy na Slovensku jiz musely podstoupit proces sebeidentifikace, jestli se jich novy zakon dotyka, a vse nasvedcuje tomu, ze predstavitele firem jsou obezretni a nechteji nic zanedbat. Prestoze puvodni odhady hovorily o priblizne deviti tisicich regulovanych subjektech, ktere se budou muset zakonu podridit, nakonec se jich dobrovolne nahlasilo vice nez 15 tisic.

Celni predstavitele firem budou nove muset projit skolenim tykajicim se kyberneticke bezpecnosti a podilet se na dohledu, zda se ve firme pravidla dodrzuji. Osobni odpovednost clena statutarniho organu pritom plati bez ohledu na jeho technickou kvalifikaci a teto odpovednosti se nelze zbavit ani ji omezit.

,,Ve zkratce je top management odpovedny za to, ze subjekt, ktereho se zakon dotyka, implementuje a prijme veskera opatreni, ktera jsou nezbytna, a dale dohledne na to, ze tato opatreni budou dodrzovana. K tomu musi samozrejme take alokovat nezbytne zdroje," priblizuje problematiku advokat. Clenove statutarnich organu pritom museji dodrzovat povinnost pece radneho hospodare, ktera zahrnuje take prave oblast kyberneticke bezpecnosti.