Blížící se regulace v oblasti kybernetické bezpečnosti a její dopady na společnosti

Stávající stav

Oblast kybernetické bezpečnosti je aktuálně v rámci EU regulována pomocí stávající směrnice Network and Information Security Directive (NIS).

V naší republice jsou požadavky této směrnice stanoveny a definovány Zákonem o kybernetické bezpečnosti (ZoKB) a jeho prováděcím předpisem Vyhláškou o kybernetické bezpečnosti (VoKB).

 

Časový harmonogram plánovaných změn

Na konci roku 2020 byla zahájena z podnětu Evropské Komise revize NIS směrnice, která je známa jako směrnice NIS2. Návrh je ve velmi pokročilé fázi a očekává se jeho přijetí na úrovni EU v říjnu 2022.

Cílem této směrnice je sjednotit a standardizovat minimální požadavky na úroveň kybernetické bezpečnosti organizací mezi jednotlivými členskými zeměmi EU.

Členské země mají poté 21 měsíců na tzv. transpozici do lokální právní úpravy, což v našem případě znamená novelu ZoKB. Účinnost novelizovaného ZoKB tedy bude do poloviny roku 2024.

Pokud budou zachovány stávající lhůty, tak společnosti, na které nově aktualizovaný ZoKB dopadne (stanou se povinnou osobou vůči ZoKB) budou mít lhůtu 12-ti měsíců na splnění požadavků vyplývajících z uvedeného zákona od data jeho účinnosti.

 

Koho se to týká a jaké budou dopady plánovaných změn

Aktuální návrh NIS2 zachovává původní strukturu a řadu požadavků z původní směrnice NIS, ale podstatně rozšiřuje množinu subjektů soukromé i veřejné sféry, na které bude mít NIS2 dopad. Návazná aktualizace ZoKB tedy půjde oproti stávajícímu stavu do šířky (zasáhne více organizací), z pohledu věcného obsahu a povinností lze očekávat minimální změny.

Směrnice stanovuje dva druhy povinných subjektů, tzv. „Základní subjekty“ a „Důležité subjekty“, které se liší režimem dohledu ze strany národního dohledového orgánu - NÚKIB (základní – průběžný dohled jako nyní, důležité – v případě podezření na nesoulad) a pravděpodobně budou mít na národní úrovni rozdílné úrovně povinností.

Nově se tak bude regulace týkat organizací (plošně tzv. středních a velkých podniků nad 50 zaměstnanců a přímo určených malých a mikro podniků pod 50 zaměstnanců) z následujících sektorů.

Základní subjekty (všichni současní Poskytovatelé základních služeb) se rozšíří o více subjektů (očekává se cca 600 organizací) ze sektorů:

 • farmacie,
 • vodík v energetice,
 • dálkové vytápění a chlazení,
 • odpadní vody,
 • digitální infrastruktura,
 • veřejná správa,
 • vesmír.

Důležité subjekty (nové, nyní neregulované, očekává se cca 4 500 organizací):

 • poštovní a kurýrní služby,
 • nakládání s odpady,
 • chemický průmysl,
 • potravinářství,
 • výroba zdravotnických prostředků,
 • výroba počítačů, elektronických a optických přístrojů,
 • výroba elektrických zařízení,
 • výroba motorových vozidel a ostatních dopravních prostředků a zařízení,
 • digitální poskytovatelé.

NIS2 také nově zavádí správní pokuty vůči povinným subjektům a stanovuje horní hranici pokut (10 000 000 EUR nebo 2 % celkového celosvětového ročního obratu podniku - jde o polovinu maximální sazby stanovené předpisem upravujícím ochranu osobních údajů – GDPR).

 

Přístup k řešení

 • Začít s předstihem a soulad s požadavky NIS2 uchopit jako příležitost k dosažení standardní, minimální úrovně bezpečnosti v rámci organizace. Tomuto přístupu nahrává fakt, že z pohledu základních povinností nelze očekávat zásadní změny a jsou již tedy nyní známy v rámci stávajícího ZoKB, organizace má tak možnost zvýšit úroveň svého zabezpečení již nyní, získá více času na implementaci požadavků a může v delším čase rozprostřít financování potřebných aktivit. Tedy situaci využít jako příležitost k pragmatickému zvýšení úrovně kybernetického zabezpečení organizace.
 • Aktuálně nedělat nic (z pohledu souladu s NIS2, nikoliv z pohledu zabezpečení IT systémů). Již v rámci první vlny naplňování souladu s požadavky původní NIS směrnice (a ZoKB) se osvědčil postup vyčkat na finální znění legislativy a následně provést rozdílovou (GAP) analýzu, která identifikuje v rámci organizace nepokryté oblasti, priority a navrhne způsoby jejich řešení. Tomuto přístupu nahrává i výše uvedený časový harmonogram (je a bude relativně dostatek času na uvedení organizace do souladného stavu s požadavky).

Oba přístupy jsou legitimní a dle kontextu konkrétní společnosti je možné zvolit jednu či druhou cestu. Na oba přístupy jsme jako dodavatel připraveni a schopni konzultačně pomoci s jejich řešením.