V souvislosti s přijetím směrnice NIS2 a nového zákona o kybernetické bezpečnosti se mezi našimi zákazníky často objevují otázky ohledně toho, jaké konkrétní změny tyto nové legislativní předpisy přinesou a jaký vliv budou mít na jejich podnikání. Tento článek si klade za cíl odpovědět na nejčastější dotazy našich zákazníků. Tyto či podobné otázky a odpovědi zazněly i na konferenci pořádané Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB). Kladete si také následující otázky? Jaké nové povinnosti vyplývají ze směrnice NIS2? Jak bude implementována novela kybernetického zákona v České republice? A co to znamená pro firmy a organizace z pohledu kybernetické bezpečnosti a jejich povinností vůči úřadům a zákazníkům? Pomůžeme vám s odpověďmi tak, abyste se mohli lépe připravit na nadcházející změny.
Otázka č.1
Pokud jsme součástí koncernu, ale máme oddělená aktiva od mateřské společnosti i dceřiných společností, počítá se do velikosti jen samotná firma?
Odpověď: Ano, zákon zohledňuje toto oddělení. Pokud jsou aktiva zcela oddělená, počítá se do velikosti pouze vaše firma, nikoli mateřská nebo dceřiná společnost.
Otázka č.2
Co se stane, pokud se i přes nejlepší snahu špatně identifikujeme? Kdo to může zjistit, jak a kdy, a jaké sankce hrozí firmě?
Odpověď: Přestože jste vynaložili veškeré úsilí na správnou identifikaci (například jste si nechali zpracovat analýzu, která však došla k chybnému závěru), NÚKIB může zjistit, že pod jeho regulaci skutečně spadáte, a teoreticky vám může uložit pokutu. Nicméně pokud NÚKIB rozpozná snahu o správnou identifikaci, i když byl výsledek chybný, pravděpodobně se k pokutování nepřikloní. Někdy jsou tyto případy hraniční a záleží na konkrétním posouzení. NÚKIB může situaci vyhodnotit a rozhodnout.
Otázka č.3
Je manažer kybernetické bezpečnosti právně odpovědný, nebo se odpovědnost týká pouze vedení společnosti?
Odpověď: Za společnost je právně odpovědné vedení a nelze tuto odpovědnost plně přenést na manažera kybernetické bezpečnosti. Manažer má však své konkrétní povinnosti, které nesmí zanedbávat, a za ty nese svou odpovědnost. Záleží tedy na konkrétní situaci a na tom, zda došlo k porušení jeho povinností.
Otázka č.4
Pokud dojde k úplnému oddělení řídícího systému fotovoltaické elektrárny (FVE), který je regulovanou službou, od ostatních systémů a infrastruktury, platí, že se požadavky NIS2 vztahují pouze na tuto regulovanou službu?
Odpověď: Ano, je možné oddělit regulovanou službu, a tím se na ni budou vztahovat pouze specifická opatření, která budou vymezena v prohlášení o aplikovatelnosti. Klíčovým faktorem je, jak efektivně je možné systémy oddělit a jaké náklady jsou s tím spojeny.
Otázka č.5
Jak se na malou firmu vztahují povinnosti v oblasti kybernetické bezpečnosti, pokud dodává produkt společnosti, která má vyšší povinnosti podle NIS2?
Odpověď: Malá firma, která sama nespadá pod NIS2, automaticky nepřechází do režimu vyšších povinností, i když dodává produkt společnosti, která pod tento režim spadá. Nicméně společnost s vyššími povinnostmi může mít specifické požadavky týkající se kybernetické bezpečnosti, které bude třeba splnit. Je důležité, aby malá firma provedla nezbytné úpravy a umožnila odběrateli ověřit plnění těchto požadavků.
Otázka č.6
Jak se určuje velikost podniku v souvislosti s počtem zaměstnanců, když například zdravotnická služba zaměstnává 100 osob, ale celkově má celá skupina subjektů 600 zaměstnanců? Platí, že jde o velký podnik?
Odpověď: Při určování velikosti podniku je důležité zohlednit celkový počet zaměstnanců v celé organizaci. Doporučuje se konzultovat tuto problematiku s odborníky a využít dostupné materiály, například ty, které naleznete na stránkách NÚKIB. Tyto materiály mohou pomoci s výkladem pravidel a poskytují informace o správném způsobu počítání zaměstnanců a sčítání jednotlivých podniků.
Otázka č.7
Týká se směrnice NIS2 pouze firem, nebo se nějakým způsobem vztahuje i na produkty, které tyto firmy vyrábějí?
Odpověď: Směrnice NIS2 se primárně zaměřuje na požadavky, které firmy musí zavést ve svých procesech. Přímo se nezabývá požadavky na výrobky. Nicméně může mít nepřímý dopad na produkty. Pokud firma, například softwarová společnost, chce poskytovat služby jiným firmám, které spadají pod směrnici NIS2, musí zajistit, že její produkty (například software) splňují požadavky na dostatečné zabezpečení. Vzhledem k tomu se očekává, že na podzim bude představena další regulace, Cyber Resilience Act, která by od roku 2027 měla zahrnovat požadavky na hardware a software.
Otázka č.8
Jaké povinnosti se vztahují na malou firmu poskytující internetové připojení s 15 zaměstnanci v souvislosti se směrnicí NIS2?
Odpověď: Ano, taková firma spadá pod směrnici NIS2, jen pokud poskytuje alespoň 100000 aktivních pevných internetových přípojek, bude se řídit vyšším režimem povinností. Pokud tento počet nedosahuje, bude podléhat nižšímu režimu. Obecně platí, že nižší režim se týká firem s 50 a více zaměstnanci, ale ISP a firmy v oblasti elektronické komunikace představují výjimku.
Otázka č.9
Jak může výrobce potravin, který má větší fotovoltaickou elektrárnu, vyčlenit tuto technologii, aby celá firma nepřecházela do režimu vyšších povinností v oblasti kybernetické bezpečnosti?
Odpověď: Existují dvě možnosti, jak vymezit rozsah kybernetické bezpečnosti pro fotovoltaickou elektrárnu. První možností je vymezit kybernetickou bezpečnost pouze na technologie související s fotovoltaikou a tyto systémy chránit, pokud je možné je efektivně oddělit. Druhou možností je založit nové s.r.o., které by se zaměřilo na fotovoltaiku. V každém případě je doporučeno reálně oddělit správu fotovoltaické elektrárny od ostatních částí firmy.
Otázka č.10
Je poskytovatel zdravotních služeb, který je podřízen režimu OSS (One Stop Shop je systém, který umožňuje subjektům plnit určité administrativní, daňové nebo jiné povinnosti centralizovanou formou, obvykle na evropské úrovni), považován za podnik a musí se řídit velikostními kritérii pro regulaci?
Odpověď: Ano, poskytovatel zdravotních služeb může být považován za podnik, a tedy se na něj vztahují velikostní kritéria. Pokud má poskytovatel zdravotní péče 250 a více zaměstnanců nebo v průměru alespoň 270 lůžek akutní péče za poslední 3 roky, spadá do režimu vyšších povinností. Pokud má mezi 50 a 250 zaměstnanci, podléhá nižšímu režimu.
Závěr
I pokud jste si jisti, že se na vás směrnice NIS2 nevztahuje, vaši dodavatelé mohou požadovat, abyste splnili některé bezpečnostní požadavky. To je běžné zejména tehdy, pokud oni sami spadají pod působnost NIS2 a zajištění vaší kybernetické bezpečnosti je pro ně klíčové.
V případě, že potřebujete pomoci s plněním těchto požadavků či s analýzou, zda se na vás směrnice NIS2 vztahuje, neváhejte se na nás obrátit zde. Nabízíme také služby Manažera kybernetické bezpečnosti, který vám zajistí komplexní podporu a řešení v této oblasti.
