Nový zákon o kybernetické bezpečnosti: Co přináší a koho se dotkne?

Co to pro nás znamená, jaké změny přináší a na koho bude mít dopad?

Co se právě stalo?

Po dlouhém legislativním procesu, který začal v červenci 2024, kdy vláda předložila návrh zákona, schválila Poslanecká sněmovna nový zákon o kybernetické bezpečnosti. Společně s ním byl schválen i doprovodný změnový zákon (sněmovní tisk 760), který upravuje související právní předpisy. Nyní bude návrh projednávat Senát a poté by měl být podepsán prezidentem. Očekává se, že účinnost zákona nastane nejdříve 1. října 2025.

Nový zákon implementuje evropskou směrnici NIS2 (Network and Information Security), jejíž transpozice do českého práva měla být původně dokončena již 18. října 2024. Česká republika tak bude plnit svůj závazek vůči Evropské unii, byť s ročním zpožděním.

Proč potřebujeme nový zákon?

V době, kdy se celý svět digitalizuje a kybernetické hrozby narůstají, je nezbytné zajistit ochranu klíčových společenských a ekonomických činností. Starý zákon o kybernetické bezpečnosti z roku 2014 už nedokáže pokrýt současné výzvy a hrozby.

Nový zákon reaguje na:

• Rostoucí počet a komplexnost kybernetických útoků
• Potřebu chránit více odvětví kritické infrastruktury
• Větší provázanost digitálních služeb a systémů
• Snahu o harmonizaci pravidel kybernetické bezpečnosti v rámci EU

Koho se nový zákon dotkne?

Zatímco původní zákon o kybernetické bezpečnosti se týkal přibližně 400 organizací, ten nový významně rozšiřuje okruh povinných subjektů až na odhadovaných 6 000! Budou mezi ně patřit:

• Střední a velké podniky poskytující regulované služby (50+ zaměstnanců a obrat nad 10 milionů EUR)
• Organizace důležité pro zabezpečení společenských či ekonomických činností
• Subjekty významné pro bezpečnost státu

Zákon bude regulovat několik desítek služeb v 22 odvětvích včetně energetiky, dopravy, bankovnictví, zdravotnictví, potravinářství nebo digitálních služeb.

Dva režimy povinností

Nový zákon zavádí dva režimy povinností pro regulované subjekty:

1. Režim vyšších povinností - pro klíčové služby a organizace
2. Režim nižších povinností - pro méně kritické, ale stále významné služby

Rozsah povinností se bude lišit podle toho, do kterého režimu bude služba spadat.

Co nový zákon konkrétně přináší?

Nové povinnosti pro organizace

• Ohlašovací povinnost - Do 60 dnů od naplnění podmínek musí organizace ohlásit, že poskytuje regulovanou službu Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB)
• Implementace bezpečnostních opatření - Organizace mají jeden rok od registrace na implementaci všech požadovaných bezpečnostních opatření
• Hlášení kybernetických incidentů - Povinnost hlásit významné kybernetické incidenty NÚKIBu a v některých případech informovat i své zákazníky
• Odpovědnost vedení - Vrcholový management organizace bude přímo odpovědný za kybernetickou bezpečnost
• Systematické řízení kybernetické bezpečnosti - Povinnost pravidelných školení, analýzy rizik a zavedení bezpečnostních procesů
• Bezpečnost dodavatelského řetězce - Důraz na bezpečnost u dodavatelů a prověřování externích partnerů

Sankce za porušení zákona

Zákon významně zpřísňuje sankce za porušení povinností - pokuty mohou dosáhnout až 250 milionů Kč nebo 2 % z ročního obratu společnosti. Kromě finančních postihů mohou být uloženy i další sankce jako:

• Pozastavení platnosti certifikace
• Pozastavení výkonu řídicí funkce v organizaci

Proč je nový zákon přínosem?

I když přináší firmám a organizacím nové povinnosti, má zákon jednoznačné přínosy:

1. Vyšší odolnost proti kybernetickým hrozbám - Systematický přístup ke kybernetické bezpečnosti pomůže předcházet útokům
2. Ochrana kritické infrastruktury - Lepší zabezpečení klíčových služeb jako energetika, zdravotnictví či bankovnictví
3. Sjednocení úrovně bezpečnosti - Nastavení minimálních standardů napříč odvětvími a Evropskou unií
4. Transparentnější informování o incidentech - Veřejnost se včas dozví o bezpečnostních incidentech, které by ji mohly ohrozit
5. Posílení důvěry v digitální služby - Vyšší standardy bezpečnosti povedou k větší důvěře uživatelů

Co bude následovat?

Po schválení v Senátu a podpisu prezidentem bude zákon vyhlášen ve Sbírce zákonů. Účinnost je plánována na první den třetího kalendářního měsíce následujícího po vyhlášení zákona, což bude nejdříve 1. října 2025.

Následně:

1. Organizace budou muset identifikovat, zda poskytují regulované služby
2. V případě, že ano, budou se muset registrovat u NÚKIBu
3. Do jednoho roku od registrace budou muset implementovat požadovaná bezpečnostní opatření
4. Začne platit povinnost hlásit kybernetické bezpečnostní incidenty

Co si o tom myslíte vy?

Považujete nový zákon o kybernetické bezpečnosti za přínos, nebo za další administrativní zátěž? Dotýká se vaší organizace? Jak hodnotíte úroveň kybernetické bezpečnosti v České republice? Podělte se s námi o svůj názor v diskusi.

ZDROJE:
1. Sněmovní tisk 759 - Historie projednávání https://www.psp.cz/sqw/historie.sqw?o=9&t=759

2. Příloha k usnesení PS - Zákon, kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti https://www.psp.cz/sqw/text/orig2.sqw?idd=244066

3. Návrh zákona o kybernetické bezpečnosti https://www.psp.cz/sqw/text/orig2.sqw?idd=244062