Dne 16. ledna 2023 vstoupila v platnost nová evropská směrnice o bezpečnosti sítí a informací NIS2, která nejen, že výrazně ovlivní návrh nového zákona o kybernetické bezpečnosti, ale také rozšíří okruh firem a institucí, kterých se budou předpisy nově týkat. České republice tedy nyní běží lhůta 21 měsíců, během níž musí dojít k implementaci do legislativy. A během této doby se na veškeré změny musí připravit také stávající i nově dotčené subjekty.
Původní směrnice NIS, která platila doposud a jejíž články se propsaly do současné podoby kybernetického zákona, mířila především na kritickou infrastrukturu státu a subjekty, které se podílejí na chodu této infrastruktury. Vzhledem k tomu, že digitalizace v průběhu posledních několika let pokročila a prakticky již neexistuje odvětví, které by se bez informačních systémů obešlo, směrnice NIS2 rozšiřuje okruh o dalších nejméně šest tisíc soukromých i státních společností a regulované společnosti definuje ve dvou nových kategoriích. Tou první je základní subjekt, přičemž tyto povinné osoby mají být tím nejdůležitějším, co bude v rámci regulace chráněno. Druhou skupinou pak budou povinné osoby v kategorii důležitý subjekt. „Rozdíly mezi nimi jsou dány rozdílnou mírou rizika, která by měla být zohledněna při zavádění požadavků k řízení kyberbezpečnostních rizik, a rozdílným způsobem kontroly dodržování stanovených požadavků,“ uvádí na svých webových stránkách NÚKIB.
Směrnice tedy jednak zvýší počet regulovaných odvětví, rozšíří se stávající regulovaná odvětví o nové regulované služby a změní se i způsob identifikace povinných osob. Kybernetická bezpečnost se tedy bude muset naplňovat například při výrobě elektřiny, poskytování zdravotní péče, poskytování služeb elektronických komunikací, ale také u dalších více než šedesáti služeb roztříděných do osmnácti odvětví. „Směrnice také stanovuje kritéria, podle kterých budou subjekty vědět, zda se budou muset novým zněním kybernetického zákona řídit. Jde například o počet zaměstnanců, obrat či oblast podnikání. Znamená to, že směrnice dopadne nejen na velké, ale též i na střední podniky,“ doplňuje Lukáš Pirkl ze společnosti Algotech, která zajišťuje IT služby.
NIS 2 také například stanovuje, že vrcholný management povinných subjektů bude muset absolvovat školení, která zajistí dostatečné znalosti a dovednosti nezbytné k tomu, aby manažeři mohli identifikovat rizika a posoudit nejen postupy řízení kybernetických bezpečnostních rizik, ale i jejich dopad na poskytované služby. Dále podle Lukáše Pirkla definuje i to, jak má zabezpečení firem vypadat. „Nestanovuje sice přímo konkrétní produkty, ale udává úroveň zabezpečení, které lze dosáhnout pouze použitím produktů. Firmy tak budou muset začít už s předstihem investovat tak, aby do poloviny roku 2024 splňovaly stanovené regule,“ pokračuje s tím, že směrnice v sobě obsahuje i výrazně vyšší pokuty za nedodržení povinností. NÚKIB dále říká, že v případě porušení povinností základními subjekty hrozí pokuty, jejichž horní hranice sazby bude stanovena na nejméně 10 milionů eur nebo na alespoň dvě procenta celkového celosvětového ročního obratu v předchozím rozpočtovém roce. V případě porušení povinností důležitými subjekty bude horní hranice sazby pokuty stanovena na nejméně sedm milionů eur nebo na alespoň 1,4 procenta celkového celosvětového ročního obratu v předchozím rozpočtovém roce.
Směrnice NIS 2 obsahuje změny, na které již pravděpodobně nebude možné reagovat novelizací zákona o kybernetické bezpečnosti. Proto NÚKIB, v jehož gesci se daná problematika nachází, v současnosti pracuje na novém zákonu o kybernetické bezpečnosti, který poté bude procházet klasickým legislativním procesem.