SMĚRNICE NIS2 A NOVÝ ZÁKON O KYBERBEZPEČNOSTI
Nová směrnice EU o kybernetické bezpečnosti (NIS2) je základem nové evropské strategie pro kybernetickou bezpečnost na úrovni státních institucí i soukromých subjektů.
Přijetí směrnice reaguje na množící se bezpečností incidenty v kyberprostoru, které ve stále větším měřítku postihují nejen státní subjekty, ale i soukromé společnosti. Z tohoto důvodu se evropští zákonodárci rozhodli zakotvit společný regulační rámec pravidel pro zajištění bezpečnosti kyberprostoru a zvýšení kybernetické odolnosti v Evropě.
Podle odhadů Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), který má na starosti transpozici NIS2 do českého právního řádu, budou povinnosti předepisované NIS2 dopadat na 6 až 10 000 subjektů, tedy minimálně 15x více subjektů než dosud. Nová pravidla se budou týkat subjektů poskytujících služby v zákonem vymezených odvětvích, jako například energetika, doprava, bankovnictví, zdravotnictví a digitální infrastruktury, a nově také poštovní služby, odpadní hospodářství, potravinářství, výzkum nebo výroba specifických produktů. Zohledňována bude také velikost subjektu, jelikož NIS2 primárně cílí na střední nebo velké podniky.
Česká republika by měla promítnout směrnici NIS2 do svého právního řádu nejpozději do října 2024, kdy končí transpoziční lhůta předepsaná směrnicí. Nyní je ale prakticky jisté, že se tento termín nepodaří dodržet.
Původní plán NÚKIB počítal s předložením návrhu zákona k projednání do Poslanecké sněmovny koncem roku 2023, aby se povedlo NIS2 transponovat včas. Návrh zákona vypracovaný NÚKIB ale v dubnu tohoto roku vrátila Legislativní rada vlády (LRV) k přepracování. A teprve minulý týden předložil NÚKIB přepracovaný návrh zákona opětovně LRV, která buď návrh opětovně vrátí k přepracování, anebo postoupí Vládě se svým stanoviskem.
S ohledem na množství a povahu připomínek, které LRV v předchozím rozhodnutí k návrhu zákona vznesla, doznaly prakticky všechny paragrafy návrhu menších či větších změn. Nelze proto vyloučit další výhrady a připomínky ohledně konkrétní podoby zákona jak na úrovni LRV, tak na navazujícím jednání Vlády. Teprve po schválení návrhu zákona Vládou poputuje tento návrh do Parlamentu, kde bude s ohledem na značný dopad (nejen) do podnikatelské sféry jistě předmětem mnoha diskuzí. O konečné podobě zákona, a zprostředkovaně o konkrétní podobě nových povinností adresátů směrnice NIS2, tedy rozhodne až Parlament v rámci řádného legislativního procesu.
Konečné schválení nového zákona o kybernetické bezpečnosti a jeho vyhlášení ve Sbírce zákonů a mezinárodních smluv lze proto očekávat ve druhé polovině roku 2024. Na zavedení opatření souvisejících se zajištěním kybernetické bezpečnosti a hlášením kybernetických incidentů mají navíc povinné subjekty podle návrhu zákona dodatečnou lhůtu 1 roku. Po přijetí konkrétního znění zákona by tedy povinné subjekty měly mít dostatek času na vyhodnocení konkrétních opatření, která bude třeba v souvislosti se směrnicí NIS2 přijmout na úrovni jednotlivých podniků.
Našim klientům samozřejmě průběžně doporučujeme, aby svá kybernetická aktiva náležitě zabezpečili a chránili před vnějšími útoky. V současné době však není jisté, jaký bude konkrétní rozsah povinností předepsaných NIS2 na české národní úrovni, neboť zatím neznáme finální podobu nového zákona a z něj plynoucích požadavků na jednotlivé podniky.
Pokud byste každopádně již nyní chtěli vyhodnotit, zda se Vás nové povinnosti podle směrnice NIS2 vůbec budou týkat, naše kancelář je Vám plně k dispozici s provedením odpovídající právní analýzy.
Legislativní proces ohledně nového zákona o kybernetické bezpečnosti pro Vás budeme i nadále monitorovat a průběžně Vás informovat o všech zásadních milnících tohoto procesu.
Urban & Hejduk, advokátní kancelář