Povinná kyberbezpečnostní opatření přijdou české firmy na desítky miliard korun
Nová opatření kybernetické bezpečnosti, které musí 6000 tuzemských podniků a organizací zavést na základě evropské bezpečnostní směrnice NIS2, je budou stát jednotky až desítky miliard korun. Řekl to expert na kyberbezpečnost společnosti Deloitte Martin Roub. Země EU měly NIS2 zavést do čtvrtka. V Česku se tak nestalo, ale zákon už projednává Poslanecká sněmovna. Od začátku platnosti zákona budou mít firmy na zavedení zhruba rok.
Samotná směrnice určuje jen nejnutnější minimum opatření a konkrétní podoba závisí na jednotlivých zemích. Jejím cílem je podle Rouba hlavně ochránit evropské podniky před kybernetickými útoky, a také nastavit minimální úroveň ochrany napříč EU. NIS2 se vztahuje na střední a velké podniky z veřejného i soukromého sektoru s obratem nad deset milionů eur, tedy 250 milionů Kč, či více než 50 zaměstnanci působících v jedné z desítek vydefinovaných služeb. Tedy například na ty, které zajišťují výrobu a distribuci elektřiny, zdravotní péči nebo poštovní služby.
Návrh plánuje rozšířit regulované subjekty více než patnáctinásobně, konkrétně ze zhruba 400 na více než 6000 subjektů. „Nově mezi ně má spadat například i potravinářský sektor, ale týkat se má také některých masokombinátů, domovů důchodců nebo čistíren odpadních vod, tedy subjektů, které opravdu nepatří mezi ty, na něž by měla povinná kyberbezpečnost dopadat a bez kterých se po možném útoku stát či společnost neobejdou,“ uvedl Roub.
Řadě středních podniků to podle Rouba přinese nadbytečnou administrativní zátěž. Firmy musí zavést organizační opatření, kam spadá například zpracování bezpečnostní dokumentace či školení v oblasti kyberbezpečnosti. Druhým typem jsou technická opatření, pod které patří například detekce a řešení bezpečnostních událostí a incidentů nebo zajištění fyzické bezpečnosti podnikových prostor a prostředků ICT (informační a komunikační technologie). Pokud povinnosti subjekty nesplní, hrozí jim pokuta až do 250 milionů korun, případně dvě procenta čistého celosvětového ročního obratu.
V ČR je NIS2 zaváděna návrhem nového zákona o kybernetické bezpečnosti. Ve srovnání se zahraničními úpravami je podle Rouba návrh specifický, místy i o něco přísnější. První odlišnost je v rozsahu subjektů, kam oproti úpravám v ostatních zemích spadá i vojenský průmysl. Mezi druhou odlišnost, která je součástí návrhu zákona, je také zahrnutí bezpečnostního screening ICT dodavatelů do strategických sítí státu, dodal.
Přijetí české verze zákona, která zavádí směrnici NIS2 a kterou připravil Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), provázely od začátku komplikace. „Ať už jde o odmítnutí podoby zákona v roce 2022 premiérem Petrem Fialou (ODS), přerušení vládního jednání o implementaci směrnice, či nejasnost právních definicí, pro české firmy a podniky celý legislativní proces nebudil důvěru,“ řekla ČTK Zuzana Kubíková z poradenské firmy RSM.
Zákon má posilovat kybernetickou bezpečnost ČR a v mnoha aspektech navazuje na stávající systém. Současně ale přináší i nové procesy a nástroje a zároveň podle předkladatelů zjednodušuje a zpřehledňuje právní úpravu. Počítá s rozšířením okruhu orgánů a osob, na který dopadá a jehož ochrana a fungování jsou v ekonomickém a celospolečenském zájmu.