S tím, jak se blíží přijetí nového kybernetického zákona implementujícího evropskou směrnici NIS2, jsou blíže také nové povinnosti. Postup jejich implementace se může jevit jako složitý a nepřehledný.
Experti na kybernetickou bezpečnost z Exclusive Networks proto přinášejí pět jednoduchých bodů, které pomohou k zvládnutí zavádění nových povinností i k dodržení termínů.
„Prvním bodem samozřejmě je stanovit si, zda se mne nové povinnosti vůbec týkají, popřípadě v jaké míře. Nejjednodušší způsob je vyhledat si seznam regulovaných odvětví, ale pokud v něm vaše odvětví je, ještě to nemusí nutně znamenat, že pod regulaci spadáte i vy. Každé odvětví má trochu jinak nastavené podmínky, existuje řada výjimek a nepravidelností. Ve většině odvětví ale hraje velkou roli velikost podniku podle počtu zaměstnanců a finančních ukazatelů,“ informuje Hynek Vácha ze společnosti Exclusive Networks, která se specializuje na digitální infrastrukturu a kybernetickou bezpečnost, kde spolupracuje se světovým lídrem v této oblasti, společností Fortinet.
Pokud pod regulaci spadáte, je nutné ji ohlásit. Od doby, kdy zákon vejde v platnost, na to běží lhůta 60 dní. „Samotné ohlášení není nic složitého a uděláte ho přes portál NÚKIB, který vás následně zaregistruje,“ pokračuje Vácha.
Ode dne registrace máte třicetidenní lhůtu k nahlášení kontaktních údajů prostřednictvím portálu NÚKIB.
Čtvrtý bod, který je nutné dodržet, je povinnost hlásit bezpečnostní incidenty, a to do jednoho roku. V případě vyššího regulatorního rámce se nahlašují přímo na NÚKIB a v případě nižšího národnímu CERT. V určitých případech existuje také povinnost hlásit incidenty zákazníkům.
„Posledním bodem je samotné zavádění bezpečnostních opatření. Při tom musíte dbát na to, pod jaký regulatorní rámec spadáte. Zavádění opatření může být poměrně časově náročné, proto bych doporučil s ním neotálet. Pro kybernetickou bezpečnost, která se stává stále důležitější, je určitě lepší opatření zavést dříve a pořádně, než je zavádět na poslední chvíli,“ dodává Vácha.
Nová legislativa se dotkne širokého spektra veřejných i soukromých subjektů včetně technických služeb, které spravují klíčovou infrastrukturu měst a obcí. Základními kritérii jsou velikost podniku a regulované služby určené ve vyhlášce. Technických služeb se tato povinnost týká v případě, že mají více než 50 zaměstnanců a zabývají se nakládáním s odpady.
Nový kybernetický zákon je momentálně ve třetím čtení a brzy může dojít k jeho schválení. Platnost se očekává nejpozději k 1. 1. 2026.*
Ilustrační foto archiv
