V říjnu tohoto roku pravděpodobně nabyde účinnosti nový zákon o kybernetické bezpečnosti. Co to pro Vás znamená? Kdo je regulovanou osobou? Spadáte do režimu vyšších či nižších povinností? Víte, že sankce za nedodržení může stoupat ke 250.000.000,- Kč??
1. POVINNÉ OSOBY
1.1. Registrace u NÚKIB
Základní povinností je registrace subjektu u NÚKIB (prostřednictvím webového Portálu NÚKIB) a to v momentě, kdy subjekt zjistí, že naplnil kritéria pro identifikaci regulované služby. Jde o služby, jejichž narušení by mohlo mít významný dopad na zabezpečení důležitých společenských nebo ekonomických činností.
Mezi poskytovatele regulované služby patří například:
- komerční letečtí dopravci
- provozovatelé drah
- poskytovatelé zdravotní péče
- soudy, státní zastupitelství
- subjekty poskytující poštovní služby
- potravinářské subjekty
- výrobci počítačů, zdravotnických prostředků
- vysoké školy (oblast výzkumu, vývoje, veřejné správy)
- a další…
V praxi tedy bude stěžejní, rozhodnout zda a) poskytuji některou z výše uvedených služeb (typicky ano, jsem-li držitelem licence apod.) a za b) splňuji kritérium obratu/ kritérium zaměstnanců (velký podnik či střední podnik (obrat 10 milionů euro), počet zaměstnanců (50+)).
Po naplnění kritérií je třeba provést výše zmíněnou registraci, čímž dojde k zápisu do evidence poskytovatelů (o čemž bude subjekt vyrozuměn typicky skrze datovou schránku).
Poté poběží lhůta ke splnění dalších povinností ze Zákona jako například k hlášení kontaktních a dalších údajů.
1.2. REŽIM VYŠŠÍCH A NIŽŠÍCH POVINNOSTÍ
Kritériem pro určení, zda na mě, jakožto poskytovatele regulované služby dopadá první či druhý režim je typicky jedno z kritérií výše: velikost podniku a počet zaměstnanců či obrat. Pokud v jedné ze svých činností naplním vyšší režim, pak do něj budu spadat jako celek, tedy podřídit se mu musejí i ostatní části korporace a jiné služby, byť by samy o sobě naplnily jen režim nižších povinností. Jinými slovy tedy jedna organizace má vždy jen jeden režim poskytovatele regulované služby.
K tomuto se pak budou vázat dvě vyhlášky, které stanoví rozsah bezpečnostních opatření, která bude nutné v jednom či druhém režimu nutné zavést.
2. POVINNOSTI
2. 1. POVINNOST REGISTRACE a hlášení údajů
2. 2. BEZPEČNOSTÍ INCIDENTY
Bezpečnostním incidentem se rozumí jakákoli událost narušující dostupnost, autenticitu, integritu nebo důvěrnost uchovávaných, předávaných nebo zpracovávaných dat nebo služeb, které jsou nabízeny prostřednictvím sítí a informačních systémů nebo které jsou jejich prostřednictvím přístupné.“
V režimu vyšších povinností tedy musí subjekt hlásit úřadu jakýkoliv takovýto incident a to bezodkladně. Zákon stanoví přechodné období 1 roku od data registrace do Portálu.
V režimu nižších povinností pak musí subjekt hlásit jen takový incident, který si vyhodnotí jako významný a u kterého nelze vyloučit úmyslné zavinění.
Pro hlášení bude využíván Portál NÚKIB, stejně jako pro hlášení kontaktních údajů, bezpečnostních incidentů či hlášení provedení protiopatření.
Do 24 po incidentu je třeba vyhotovit prvotní hlášení, do 72 hodin pak oznámení a případně poskytnout průběžnou zprávu. Závěrečná zpráva pak musí být vyhotovena do 30 dnů od incidentu.
NÚKIB poskytovateli v režimu vyšších povinností oznámí, poté co ten poskytne prvotní hlášení, zda jde o významný incident – pokud nikoli, řízení tím pro poskytovatele končí. Pokud o významný incident půjde, pokračuje poskytovatel ve tvorbě oznámení.
2. 3. BEZPEČNOSTNÍ OPATŘENÍ a rozsah řízení kybernetické bezpečnosti
Cílem těchto opatření je, aby si společnost v režimu vyšších či nižších povinností vytvořila screening svého prostředí, toho, co potřebuje k zajištění chodu regulované služby, vytvořila si hodnocení rizik, které mohou tuto službu ohrozit. V neposlední řadě bude společnost povinna zavést opatření ke snížení těchto rizik.
Jejich zavedení pak bude nutné od 1 roku od vyrozumění o zápisu regulované služby ze strany NÚKIB. Obsahově se pak budou lišit podle vyššího a nižšího režimu povinností.
2. 4. DALŠÍ POVINNOSTI A JINÉ DOPADY
- školení a profesní rozvoj zaměstnanců
- šifrování dat
- bezpečnost dodavatelského řetězce
- bezpečnost lidských zdrojů
- ošetření smluv, odpovědnost statutárního orgánu
- tvorba relevantních vnitřních předpisů
- nastavení a provádění pravidelných vnitřních kontrol
- provedení úkonů uvedených v protiopatření vydaných NÚKIB v reakci na bezpečnostní incident
- informování zákazníků o incidentech a hrozbách
- sankce za nedodržení sahají ke 250.000.000,- Kč anebo 2 % celosvětového obratu
JUDr. Pavel Berger, advokát
a
Petr Hás