Nová pravidla vyplývající z unijní směrnice NIS2, která mění požadavky na kybernetickou bezpečnost ve firmách a veřejné správě, by se mohla podle odhadů Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) týkat více než 6000 subjektů v Česku. Podle stávajících pravidel je povinných osob přibližně 400. NÚKIB v březnu uzavřel příjem podnětů v rámci veřejných konzultací k návrhu nového zákona o kyberbezpečnosti, který na směrnici reaguje. V květnu ho chce předložit do meziresortního připomínkového řízení, řekl dnes novinářům ředitel úřadu Lukáš Kintr.
NIS2 nahrazuje o šest let starší směrnici o bezpečnosti sítí a informačních systémů. Na uvedení nových pravidel do národních legislativ mají členské státy EU čas do 17. října příštího roku. Směrnice zavádí povinnost mapovat kybernetické hrozby a hlásit potíže pro firmy v mnoha sektorech. „Návrh dopadne například na energetiku, zdravotnictví, potravinářství nebo odpadní hospodářství,“ uvedl Kintr. NÚKIB o podrobnostech ke směrnici informuje na zvláštním webu.
Kromě služby, kterou poskytují, bude pro určení povinných subjektů rozhodující primárně jejich velikost, regulace dopadne téměř výhradně na střední a velké podniky. Poskytovatelé regulovaných služeb budou mít dva režimy povinností, do vyššího by jich měla spadat zhruba tisícovka, ostatní by pak měly patřit do nižší úrovně. Poskytovatelé by měli podle předpisu vyhodnotit sami, zda kritéria naplňují, NÚKIB je ale může zaregistrovat i sám.
Subjekty budou muset nahlásit kontaktní a další údaje. „Abychom mohli navázat kontakt a řešit veškeré operativní záležitosti. Vedle toho budou mít povinnost zavést určitý bezpečnostní standard,“ uvedl Kintr. Povinné subjekty budou muset také hlásit kybernetické bezpečnostní incidenty či informovat své zákazníky o incidentech a hrozbách.
Pravidla směrnice se do českého práva dostanou v rámci nového zákona o kyberbezpečnosti. NÚKIB v březnu uzavřel příjem podnětů v rámci veřejných konzultací k návrhu. Dostal jich za šest týdnů stovky z celkem 117 míst. Úřad do konce dubna podněty vypořádá, v anonymizované podobě je bude mít k dispozici i veřejnost na webu. V polovině května chce NÚKIB nový předpis spolu s doprovodnými vyhláškami předložit do připomínkového řízení.
Klíčové služby dostanou povinnosti i v rámci nového mechanismu, který má zajistit bezpečnost dodavatelského řetězce. Tato pravidla se mají podle odhadu NÚKIB týkat asi 150 subjektů zařazených do kategorie strategicky významné infrastruktury státu. Jde například o subjekty z oblasti veřejné správy, energetiky, letecké a drážní dopravy, ale také poskytovatele digitální infrastruktury a služeb.
Mechanismus pro prověřování dodavatelů má umožnit odhalit nedůvěryhodné dodavatele technologických prvků nejvýznamnější, tzv. strategické infrastruktury. Cílem je podle Kintra předejít strategické závislosti na dodavatelích ICT technologií tak, aby se nemohla opakovat situace, jaká nastala například v případě závislosti na dodávkách ruských surovin.
TZ
