Novela zákona o kybernetické bezpečnosti: Co se mění?

Rozšíření působnosti zákona na další subjekty

Novela zákona o kybernetické bezpečnosti přináší zásadní změny v rozsahu subjektů, na které se vztahují povinnosti v oblasti kybernetické bezpečnosti. Původní legislativa se soustředila především na subjekty kritické infrastruktury a vybrané správce informačních systémů veřejné správy, avšak aktuální úprava výrazně rozšiřuje okruh povinných osob v souladu s evropskou směrnicí NIS2.

Mezi nově zahrnuté subjekty patří především poskytovatelé digitálních služeb, kteří dosud nebyli plně pokryti stávající právní úpravou. Jedná se zejména o provozovatele online tržišť, cloudových služeb a vyhledávačů, jejichž význam pro fungování digitální ekonomiky a společnosti neustále roste. Tyto subjekty budou nově povinny implementovat bezpečnostní opatření a hlásit kybernetické bezpečnostní incidenty příslušným orgánům.

Rozšíření se dále dotýká sektoru zdravotnictví, kde jsou nově zahrnuty nejen nemocnice a velká zdravotnická zařízení, ale také výrobci zdravotnických prostředků a farmaceutické společnosti. Tato změna reflektuje rostoucí závislost zdravotnického sektoru na digitálních technologiích a potřebu ochrany citlivých zdravotních dat pacientů před kybernetickými hrozbami.

V oblasti dopravy novela zahrnuje širší spektrum subjektů než doposud. Kromě provozovatelů kritické dopravní infrastruktury se nově vztahuje i na menší dopravní společnosti a poskytovatele logistických služeb, kteří hrají důležitou roli v dodavatelských řetězcích. Digitalizace dopravních systémů a rostoucí propojení různých dopravních módů vyžaduje komplexnější přístup k zajištění kybernetické bezpečnosti v tomto odvětví.

Finanční sektor zaznamenává také významné rozšíření působnosti zákona. Zatímco dříve byly pokryty především velké bankovní instituce a pojišťovny, nová úprava zahrnuje i menší finanční instituce, investiční společnosti a poskytovatele platebních služeb. Toto rozšíření je odpovědí na rostoucí sofistikovanost kybernetických útoků zaměřených na finanční sektor a potřebu zajistit ochranu finančního systému jako celku.

Energetický sektor prochází rovněž podstatným rozšířením. Novela zahrnuje nejen přenosové a distribuční soustavy, ale také výrobce energie z obnovitelných zdrojů a provozovatele nabíjecích stanic pro elektromobily. Tato změna odráží transformaci energetického sektoru směrem k decentralizovanějšímu a digitalizovanějšímu modelu.

Významnou novinkou je zahrnutí subjektů v oblasti nakládání s odpady a vodního hospodářství. Tyto sektory jsou čím dál více závislé na digitálních řídicích systémech a jejich narušení by mohlo mít závažné dopady na životní prostředí a veřejné zdraví. Provozovatelé čistíren odpadních vod a zařízení na zpracování odpadu tak budou muset implementovat bezpečnostní opatření odpovídající jejich kritickému významu.

Novela také zavádí kategorii takzvaných důležitých subjektů, které sice nejsou klasifikovány jako kritická infrastruktura, ale jejich narušení by mohlo mít významný dopad na poskytování klíčových služeb. Tato kategorizace umožňuje flexibilnější přístup k regulaci kybernetické bezpečnosti a zohledňuje různou míru rizika a dopadu jednotlivých subjektů na společnost.

Nové povinnosti pro kritickou informační infrastrukturu

Novela zákona o kybernetické bezpečnosti přináší zásadní změny v oblasti ochrany kritické informační infrastruktury, které mají dalekosáhlé dopady na subjekty provozující tuto infrastrukturu. Legislativní úprava reaguje na rostoucí kybernetické hrozby a potřebu posílit odolnost klíčových systémů, které jsou nezbytné pro fungování státu a zajištění základních služeb pro občany.

Provozovatelé kritické informační infrastruktury čelí nově rozšířenému spektru povinností, které zahrnují především zpřísnění požadavků na bezpečnostní opatření. Tyto subjekty musí implementovat komplexní systém řízení kybernetické bezpečnosti, který odpovídá aktuálním hrozbám a technologickému vývoji. Novela klade důraz na preventivní přístup a schopnost rychle reagovat na bezpečnostní incidenty, což vyžaduje nejen technická opatření, ale také organizační a personální změny.

Mezi klíčové nové povinnosti patří zavedení kontinuálního monitoringu bezpečnostních událostí a pravidelného vyhodnocování bezpečnostních rizik. Provozovatelé musí zajistit, aby jejich systémy byly neustále sledovány a aby jakékoliv podezřelé aktivity byly okamžitě identifikovány a analyzovány. Tato povinnost vyžaduje investice do moderních bezpečnostních nástrojů a školení personálu, který bude schopen tyto nástroje efektivně využívat.

Novela také upravuje reporting bezpečnostních incidentů, přičemž zkracuje lhůty pro hlášení závažných událostí Národnímu úřadu pro kybernetickou a informační bezpečnost. Provozovatelé kritické informační infrastruktury musí být schopni identifikovat bezpečnostní incident, vyhodnotit jeho závažnost a v případě potřeby jej nahlásit v řádu hodin, nikoliv dnů. Tato změna klade vysoké nároky na připravenost organizací a jejich schopnost rychle mobilizovat odpovídající zdroje.

Další významnou oblastí je povinnost pravidelně testovat odolnost systémů prostřednictvím penetračních testů a bezpečnostních auditů. Tyto testy musí být prováděny kvalifikovanými specialisty a jejich výsledky musí být dokumentovány a využity pro další zlepšování bezpečnostních opatření. Provozovatelé nemohou spoléhat pouze na statickou ochranu, ale musí aktivně vyhledávat slabá místa ve svých systémech dříve, než je objeví potenciální útočníci.

Novela rovněž zpřísňuje požadavky na řízení dodavatelského řetězce a bezpečnost dodavatelů. Subjekty provozující kritickou informační infrastrukturu musí pečlivě prověřovat své dodavatele a zajistit, aby i oni splňovali přiměřené bezpečnostní standardy. Tato povinnost odráží skutečnost, že mnoho kybernetických útoků využívá zranitelností v dodavatelském řetězci jako vstupní bod do cílových systémů.

Personální bezpečnost získává v rámci novely také větší význam. Organizace musí zavést přísnější postupy pro prověřování zaměstnanců, kteří mají přístup ke kritickým systémům, a zajistit jejich pravidelné školení v oblasti kybernetické bezpečnosti. Lidský faktor zůstává jednou z nejslabších stránek kybernetické ochrany, proto je nezbytné věnovat dostatečnou pozornost vzdělávání a zvyšování povědomí o hrozbách.

Zpřísnění požadavků na hlášení kybernetických incidentů

Novela zákona o kybernetické bezpečnosti přináší zásadní změny v oblasti oznamování kybernetických incidentů, které představují významný posun v přístupu České republiky k ochraně kritické informační infrastruktury. Nová právní úprava klade podstatně vyšší nároky na subjekty spadající pod regulaci tohoto zákona, přičemž hlavním cílem je zajistit rychlejší a efektivnější reakci na bezpečnostní hrozby v kyberprostoru.

Jednou z nejdůležitějších změn je zkrácení lhůt pro ohlašování kybernetických bezpečnostních incidentů. Zatímco původní zákon stanovoval poměrně benevolentní časové rámce, novelizovaná verze vyžaduje okamžité hlášení závažných incidentů, konkrétně do dvaceti čtyř hodin od jejich zjištění. Tato změna reflektuje dynamickou povahu kybernetických hrozeb, kde každá hodina může být kritická pro minimalizaci škod a zabránění dalšímu šíření útoku. Povinné subjekty musí nyní disponovat robustními mechanismy detekce a eskalace, které umožní splnit tyto přísné časové požadavky.

Novela také rozšiřuje spektrum incidentů, které podléhají povinnosti hlášení. Zatímco dříve bylo nutné oznamovat pouze incidenty s významným dopadem na poskytované služby, nová úprava zahrnuje i potenciální bezpečnostní hrozby a pokusy o narušení kybernetické bezpečnosti. To znamená, že organizace musí hlásit nejen úspěšné útoky, ale také podezřelé aktivity, které by mohly vést k narušení bezpečnosti informačních systémů. Tento preventivní přístup má za cíl vytvořit komplexnější obraz o kybernetických hrozbách a umožnit včasnou reakci na vznikající bezpečnostní rizika.

Významnou změnou je také zpřesnění obsahových náležitostí hlášení. Povinné subjekty musí nyní poskytovat podrobnější informace o povaze incidentu, včetně technických detailů útoku, identifikace zranitelností, které byly zneužity, a odhadu rozsahu dopadu na chráněné služby a systémy. Tato detailní dokumentace slouží nejen pro účely dohledu, ale také pro sdílení informací o hrozbách mezi jednotlivými subjekty a posilování kolektivní obranyschopnosti.

Novela dále zavádí povinnost průběžného informování o vývoji řešení incidentu. Nestačí tedy pouze ohlásit incident v počáteční fázi, ale povinné subjekty musí pravidelně aktualizovat informace o postupu nápravných opatření, identifikaci příčin a implementaci bezpečnostních záplat. Tato kontinuální komunikace zajišťuje, že regulátor má aktuální přehled o stavu kybernetické bezpečnosti a může v případě potřeby poskytnout podporu nebo koordinovat reakci na rozsáhlejší útoky.

Zpřísnění se týká také sankcí za nedodržení oznamovací povinnosti. Nová právní úprava stanovuje výrazně vyšší pokuty pro subjekty, které nesplní svou povinnost včasného a úplného hlášení kybernetických incidentů. Tyto sankce mohou dosáhnout až desítek milionů korun, což odráží vážnost, s jakou legislativa nahlíží na kybernetickou bezpečnost jako na otázku národní bezpečnosti.

Zavedení systému certifikace kybernetické bezpečnosti

Zavedení systému certifikace kybernetické bezpečnosti představuje jednu z klíčových změn, které přináší novela zákona o kybernetické bezpečnosti. Tento systém má za cíl posílit důvěru v digitální produkty a služby a zároveň harmonizovat české právní prostředí s požadavky Evropské unie v oblasti kybernetické bezpečnosti. Certifikační mechanismus vychází z nařízení Evropského parlamentu a Rady o kybernetické bezpečnosti a představuje komplexní rámec pro hodnocení bezpečnostních vlastností informačních a komunikačních technologií.

Nový certifikační systém se zaměřuje na produkty, služby a procesy v oblasti informačních technologií, které jsou využívány v kritické infrastruktuře a dalších důležitých systémech. Cílem je zajistit, aby tyto komponenty splňovaly stanovené bezpečnostní standardy ještě před jejich nasazením do produkčního prostředí. Certifikace tak poskytuje objektivní potvrzení, že daný produkt nebo služba byla podrobena důkladnému bezpečnostnímu hodnocení a splňuje definované požadavky na kybernetickou bezpečnost.

V rámci novely zákona o kybernetické bezpečnosti je definována role certifikačních orgánů, které budou oprávněny provádět hodnocení a vydávat certifikáty. Tyto orgány musí splňovat přísné požadavky na odbornou způsobilost, nezávislost a technické vybavení. Národní úřad pro kybernetickou a informační bezpečnost bude vykonávat dohled nad činností certifikačních orgánů a zajišťovat konzistentní uplatňování certifikačních schémat na území České republiky.

Certifikační systém pracuje s různými úrovněmi záruky bezpečnosti, které odpovídají míře rizika spojeného s využíváním konkrétního produktu nebo služby. Základní úroveň je vhodná pro produkty s nižším bezpečnostním rizikem, zatímco vyšší úrovně záruky jsou vyžadovány pro kritické systémy a infrastrukturu. Toto odstupňování umožňuje přizpůsobit hloubku a rozsah certifikačního procesu skutečným bezpečnostním potřebám a ekonomické efektivitě.

Implementace certifikačního systému přináší povinnosti nejen pro výrobce a poskytovatele služeb, ale také pro provozovatele kritické infrastruktury a další regulované subjekty. Tyto subjekty budут muset při výběru produktů a služeb zohledňovat jejich certifikační status a v určitých případech využívat výhradně certifikované řešení. Novela zákona stanovuje přechodné lhůty, během kterých se subjekty musí přizpůsobit novým požadavkům.

Zavedení certifikace kybernetické bezpečnosti má také významný mezinárodní rozměr. Systém je navržen tak, aby byl kompatibilní s evropskými certifikačními schématy a umožňoval vzájemné uznávání certifikátů vydaných v různých členských státech Evropské unie. Tato harmonizace usnadňuje obchod s digitálními produkty a službami v rámci jednotného digitálního trhu a snižuje administrativní zátěž pro výrobce a poskytovatele působící ve více zemích.

Kybernetická bezpečnost není jen technickou záležitostí, ale základním předpokladem fungování moderního státu. Novela zákona musí reflektovat dynamický vývoj hrozeb a zároveň poskytovat jasný rámec pro ochranu kritické infrastruktury i osobních údajů občanů.

Radim Dvořák

Vyšší sankce za porušení bezpečnostních povinností

Novela zákona o kybernetické bezpečnosti přináší zásadní změny v oblasti sankcí za porušení bezpečnostních povinností, které mají motivovat organizace k důslednějšímu plnění jejich závazků v oblasti ochrany informačních systémů a dat. Zpřísnění sankčního režimu představuje jeden z klíčových pilířů aktualizované právní úpravy, která reaguje na rostoucí počet kybernetických útoků a jejich stále sofistikovanější podobu.

Podle novelizovaného znění zákona se výše pokut za porušení povinností v oblasti kybernetické bezpečnosti výrazně zvyšuje. Zatímco původní zákon stanovoval maximální pokutu pro právnické osoby ve výši deseti milionů korun, nová úprava tuto hranici posunuje až na dvacet milionů korun v případě nejzávažnějších prohřešků. Tato změna odráží nejen inflační vývoj, ale především rostoucí závažnost dopadu kybernetických incidentů na fungování kritické infrastruktury a poskytování základních služeb.

Sankce jsou odstupňovány podle závažnosti porušení a podle toho, zda se jedná o správce základní služby, poskytovatele digitální služby nebo správce informačního systému kritické informační infrastruktury. Nejpřísnější sankce hrozí subjektům kritické informační infrastruktury, kde může nedostatečné zabezpečení vést k ohrožení životů, zdraví nebo majetku velkého počtu osob. V těchto případech může pokuta dosáhnout až dvaceti milionů korun nebo deseti procent celkového ročního obratu povinného subjektu, přičemž se uplatní ta částka, která je vyšší.

Novela také precizuje katalog skutkových podstat, za které mohou být sankce uloženy. Mezi nejčastější důvody pro uložení pokuty patří nesplnění oznamovací povinnosti při kybernetickém bezpečnostním incidentu, nedostatečná implementace bezpečnostních opatření, neposkytnutí součinnosti Národnímu úřadu pro kybernetickou a informační bezpečnost nebo nedodržení lhůt stanovených pro odstranění zjištěných nedostatků. Zvláštní pozornost je věnována opakovanému porušování povinností, kde zákon umožňuje ukládat sankce v horní části stanovené sazby.

Důležitým aspektem nové úpravy je zavedení možnosti uložit pokutu nejen za samotné porušení bezpečnostních povinností, ale také za nedostatečnou dokumentaci bezpečnostních opatření nebo za neposkytnutí pravdivých a úplných informací kontrolním orgánům. Tato změna má zajistit, že organizace budou nejen implementovat potřebná bezpečnostní opatření, ale také budou schopny prokázat jejich funkčnost a účinnost.

Zákon současně stanovuje kritéria pro určení výše konkrétní pokuty v rámci stanovené sazby. Při rozhodování o sankci se přihlíží k závažnosti porušení povinnosti, k délce trvání protiprávního stavu, k případným následkům pro dotčené osoby a k tomu, zda povinný subjekt učinil kroky k nápravě situace. Zohledňuje se také ekonomická situace sankcionovaného subjektu a jeho předchozí zkušenosti s plněním povinností v oblasti kybernetické bezpečnosti.

Novela dále rozšiřuje pravomoci Národního úřadu pro kybernetickou a informační bezpečnost při ukládání sankcí a zavádí možnost uložit opatření k nápravě s konkrétními lhůtami pro jejich splnění. Nesplnění těchto nápravných opatření může vést k uložení další pokuty, čímž se zvyšuje tlak na povinné subjekty k rychlému odstranění zjištěných nedostatků.

Posílení pravomocí Národního úřadu pro kybernetickou bezpečnost

Novela zákona o kybernetické bezpečnosti přináší zásadní změny v působnosti a pravomocích Národního úřadu pro kybernetickou a informační bezpečnost, který se stává klíčovým orgánem v oblasti ochrany kybernetického prostoru České republiky. Tyto změny reagují na rostoucí počet kybernetických hrozeb a nutnost efektivnější koordinace opatření na národní úrovni.

Jednou z nejvýznamnějších změn je rozšíření kontrolních pravomocí úřadu. Národní úřad pro kybernetickou a informační bezpečnost získává možnost provádět důkladnější kontroly u povinných subjektů, přičemž tyto kontroly mohou být jak plánované, tak i mimořádné v případě podezření na nedodržování stanovených bezpečnostních opatření. Úřad má nově právo vyžadovat od kontrolovaných subjektů veškerou dokumentaci a informace nezbytné pro posouzení stavu kybernetické bezpečnosti, což zahrnuje i technické údaje o používaných systémech a implementovaných bezpečnostních opatřeních.

V rámci posílení pravomocí získává úřad také rozšířené sankční mechanismy. Pokud povinný subjekt nesplňuje své zákonné povinnosti nebo nedostatečně implementuje bezpečnostní opatření, může úřad uložit výrazně vyšší pokuty než doposud. Maximální výše sankcí byla navýšena tak, aby měla skutečně odrazující účinek a motivovala subjekty k odpovědnému přístupu ke kybernetické bezpečnosti. Sankce mohou být uloženy nejen za nedodržení bezpečnostních opatření, ale také za nehlášení kybernetických incidentů nebo za neposkytnutí součinnosti při kontrole.

Novela také posiluje roli úřadu v oblasti koordinace reakcí na kybernetické bezpečnostní incidenty. Úřad získává pravomoc vydávat závazné pokyny a doporučení pro povinné subjekty v případě zjištění konkrétní hrozby nebo při řešení rozsáhlejšího bezpečnostního incidentu. Tyto pokyny musí subjekty neprodleně implementovat, přičemž úřad má možnost kontrolovat jejich dodržování a v případě potřeby nařídit další opatření.

Důležitým aspektem je také posílení analytických a vyšetřovacích kapacit úřadu. V rámci novely získává úřad pravomoc provádět hloubkovou analýzu kybernetických hrozeb a útoků, včetně možnosti spolupracovat s dalšími bezpečnostními složkami státu. Tato spolupráce zahrnuje výměnu informací s Policií České republiky, zpravodajskými službami a dalšími relevantními institucemi, což umožňuje komplexnější pohled na kybernetické hrozby a efektivnější koordinaci obranných opatření.

Novela rovněž upravuje pravomoci úřadu v oblasti certifikace a akreditace. Úřad má nově možnost stanovit konkrétní požadavky na certifikaci produktů a služeb v oblasti kybernetické bezpečnosti, které jsou používány povinnými subjekty. Tím se zajišťuje, že kritická infrastruktura využívá pouze ověřené a bezpečné technologie splňující stanovené standardy. Úřad může také vést seznam certifikovaných produktů a služeb, který bude sloužit jako vodítko pro povinné subjekty při výběru vhodných bezpečnostních řešení.

Nová pravidla pro dodavatele ICT služeb

Novela zákona o kybernetické bezpečnosti přináší zásadní změny v oblasti regulace dodavatelů ICT služeb, které mají dalekosáhlé dopady na celý sektor informačních a komunikačních technologií v České republice. Tato legislativní úprava reaguje na rostoucí kybernetické hrozby a potřebu komplexnějšího přístupu k zajištění bezpečnosti kritické infrastruktury a důležitých informačních systémů.

Dodavatelé ICT služeb se podle nové právní úpravy stávají klíčovými subjekty v systému kybernetické bezpečnosti, což s sebou nese řadu nových povinností a odpovědností. Především musí zajistit, aby jejich služby a produkty splňovaly stanovené bezpečnostní standardy a požadavky, které jsou definovány v rámci novelizovaného zákona. Tato změna znamená, že dodavatelé nemohou nadále poskytovat své služby bez důkladného posouzení bezpečnostních rizik a implementace odpovídajících ochranných opatření.

Nová pravidla kladou důraz na transparentnost dodavatelského řetězce a vyžadují od poskytovatelů ICT služeb detailní dokumentaci o původu komponent, softwarových řešení a dalších prvků jejich nabídky. Tato transparentnost je klíčová pro identifikaci potenciálních bezpečnostních rizik, která mohou vyplývat z použití technologií od dodavatelů z rizikových jurisdikcí nebo od subjektů s nejasným vlastnickým pozadím. Dodavatelé jsou povinni poskytovat úplné informace o celém dodavatelském řetězci, včetně subdodavatelů a partnerů.

Významnou změnou je také zavedení procesu certifikace a hodnocení dodavatelů ICT služeb, který má zajistit, že pouze důvěryhodní a bezpečnostně spolehliví poskytovatelé mohou nabízet své služby subjektům kritické informační infrastruktury a dalším regulovaným organizacím. Tento proces zahrnuje komplexní posouzení technických, organizačních i personálních aspektů bezpečnosti dodavatele. Certifikace není jednorázovou záležitostí, ale vyžaduje pravidelné obnovování a průběžné monitorování dodržování stanovených standardů.

Dodavatelé ICT služeb musí podle novelizovaného zákona implementovat robustní systémy řízení bezpečnosti informací, které jsou v souladu s mezinárodními standardy a osvědčenými postupy. To zahrnuje zavedení politik a procedur pro správu přístupových práv, ochranu dat, incident management a kontinuitu služeb. Tyto systémy musí být pravidelně auditovány a aktualizovány v reakci na měnící se hrozby a technologické trendy.

Povinnost hlášení bezpečnostních incidentů je další klíčovou změnou, která se dotýká dodavatelů ICT služeb. Pokud dojde k bezpečnostnímu incidentu, který může ovlivnit služby poskytované regulovaným subjektům, musí dodavatel tento incident neprodleně nahlásit příslušným orgánům a poskytnout detailní informace o povaze incidentu, jeho dopadu a přijatých opatřeních. Tato povinnost zajišťuje rychlou reakci na kybernetické hrozby a umožňuje koordinovanou obranu proti rozsáhlejším útokům.

Nová pravidla také upravují smluvní vztahy mezi dodavateli ICT služeb a jejich zákazníky, přičemž vyžadují jasné definování bezpečnostních povinností, odpovědností a garancí. Smlouvy musí obsahovat ustanovení o úrovni poskytovaných bezpečnostních služeb, postupech při řešení incidentů a podmínkách ukončení spolupráce. Dodavatelé jsou povinni zajistit, aby při ukončení smluvního vztahu nedošlo k ohrožení bezpečnosti dat a systémů zákazníka.

Implementace evropské směrnice NIS2 do legislativy

Česká republika stojí před zásadní transformací legislativního rámce kybernetické bezpečnosti, která je vyvolána požadavky evropské směrnice NIS2. Tato směrnice představuje komplexní aktualizaci původní směrnice o bezpečnosti sítí a informací a klade na členské státy Evropské unie mnohem přísnější požadavky v oblasti ochrany kritické infrastruktury a informačních systémů. Implementace těchto požadavků do českého právního řádu probíhá prostřednictvím rozsáhlé novely zákona o kybernetické bezpečnosti, která představuje jeden z nejdůležitějších legislativních kroků v oblasti digitální bezpečnosti za poslední roky.

Novela zákona o kybernetické bezpečnosti musí reflektovat podstatně rozšířený rozsah působnosti směrnice NIS2, která zahrnuje mnohem širší spektrum subjektů než předchozí právní úprava. Zatímco dosavadní legislativa se zaměřovala především na provozovatele kritické infrastruktury a poskytovatele digitálních služeb, nová úprava rozšiřuje povinnosti i na střední a velké podniky působící v mnoha dalších odvětvích. Tento přístup odráží rostoucí provázanost digitální ekonomiky a nutnost zajistit komplexní ochranu celého ekosystému informačních a komunikačních technologií.

Zásadním prvkem implementace je zavedení kategorizace povinných subjektů na subjekty základní a subjekty významné, což představuje nový koncept v českém právním řádu. Subjekty základní zahrnují organizace poskytující kritické služby, jejichž narušení by mohlo mít závažné dopady na fungování společnosti a ekonomiky. Mezi tyto subjekty patří například poskytovatelé energetických služeb, dopravní infrastruktury, zdravotnictví nebo bankovní instituce. Subjekty významné pak představují širší okruh organizací, které sice neposkytují zcela kritické služby, ale jejich bezpečnostní incident by mohl mít významný dopad na provozní kontinuitu služeb nebo veřejnou bezpečnost.

Novela zákona o kybernetické bezpečnosti zavádí také přísnější požadavky na řízení kybernetických rizik a incident management. Povinné subjekty budou muset implementovat komplexní systémy řízení bezpečnosti informací, které budou zahrnovat pravidelné hodnocení rizik, zavádění technických a organizačních opatření, školení zaměstnanců a testování bezpečnostních opatření. Tyto požadavky jsou v souladu s moderními standardy kybernetické bezpečnosti a reflektují rostoucí sofistikovanost kybernetických hrozeb.

Implementace směrnice NIS2 přináší také posílení pravomocí Národního úřadu pro kybernetickou a informační bezpečnost, který získává rozšířené kompetence v oblasti dohledu a kontroly dodržování bezpečnostních požadavků. Úřad bude moci provádět audity a inspekce, vyžadovat informace o bezpečnostních incidentech a ukládat sankce za nedodržení stanovených povinností. Toto posílení regulatorního dohledu je nezbytné pro zajištění efektivní implementace bezpečnostních opatření napříč všemi povinnými subjekty a vytvoření jednotného přístupu k řízení kybernetické bezpečnosti na národní úrovni.

Povinné bezpečnostní audity pro vybrané organizace

Novela zákona o kybernetické bezpečnosti přináší zásadní změny v oblasti povinných bezpečnostních auditů, které se dotýkají širokého spektra organizací působících v České republice. Tato legislativní úprava reaguje na rostoucí kybernetické hrozby a potřebu systematického posílení bezpečnostních opatření v kritických oblastech infrastruktury a služeb.

Podle aktualizovaných ustanovení jsou vybrané organizace povinny podstupovat pravidelné bezpečnostní audity, které mají za cíl ověřit dodržování stanovených bezpečnostních standardů a identifikovat potenciální zranitelnosti v jejich informačních systémech. Tato povinnost se vztahuje především na subjekty spadající do kategorie provozovatelů základních služeb a poskytovatelů digitálních služeb, kteří mají klíčový význam pro fungování společnosti a ekonomiky.

Frekvence provádění bezpečnostních auditů je stanovena v závislosti na kategorizaci dané organizace a míře rizika, kterému je vystavena. Organizace s nejvyšší úrovní rizika musí absolvovat komplexní bezpečnostní audit minimálně jednou za dva roky, zatímco subjekty s nižší úrovní rizika mohou mít stanovenou delší periodicitu. Tato diferenciace umožňuje efektivní využití zdrojů při zachování vysoké úrovně kybernetické bezpečnosti.

Samotný bezpečnostní audit musí provádět pouze certifikovaní auditoři, kteří splňují přísná kvalifikační kritéria stanovená Národním úřadem pro kybernetickou a informační bezpečnost. Tito odborníci musí prokázat nejen technické znalosti v oblasti kybernetické bezpečnosti, ale také důkladnou znalost relevantní legislativy a mezinárodních standardů. Auditoři jsou povinni zachovávat mlčenlivost o všech informacích, ke kterým získají přístup během provádění auditu, což zajišťuje ochranu citlivých dat auditovaných organizací.

Rozsah bezpečnostního auditu zahrnuje komplexní posouzení technických, organizačních a personálních opatření kybernetické bezpečnosti. Auditoři se zaměřují na hodnocení bezpečnostních politik a procedur, kontrolu přístupových práv a autentizačních mechanismů, analýzu síťové infrastruktury a zabezpečení komunikačních kanálů. Nedílnou součástí je také posouzení procesů pro detekci bezpečnostních incidentů a schopnosti organizace na tyto incidenty adekvátně reagovat.

Výsledkem bezpečnostního auditu je podrobná zpráva, která identifikuje zjištěné nedostatky a obsahuje konkrétní doporučení pro jejich odstranění. Auditovaná organizace je následně povinna vypracovat nápravný plán s časovým harmonogramem implementace doporučených opatření. Tento plán musí být předložen příslušnému regulačnímu orgánu, který následně monitoruje jeho plnění.

V případě zjištění závažných nedostatků, které by mohly ohrozit kybernetickou bezpečnost, má regulační orgán pravomoc uložit organizaci konkrétní nápravná opatření s vymezenou lhůtou pro jejich realizaci. Nesplnění těchto povinností může vést k uložení značných finančních sankcí, které mohou v závažných případech dosáhnout až několika milionů korun. Legislativa také umožňuje pozastavení činnosti organizace, pokud by její provoz představoval nepřijatelné bezpečnostní riziko.

Novela zákona také upravuje možnost vzájemného uznávání bezpečnostních auditů provedených v jiných členských státech Evropské unie, pokud tyto audity splňují ekvivalentní standardy a byly provedeny kvalifikovanými auditory. Toto ustanovení usnadňuje činnost mezinárodních společností působících na českém trhu a přispívá k harmonizaci bezpečnostních požadavků v rámci EU.

Harmonizace s požadavky Evropské unie

Novela zákona o kybernetické bezpečnosti představuje zásadní krok směrem k plné harmonizaci české legislativy s požadavky Evropské unie, zejména pak s direktivou NIS2, která stanovuje nové standardy pro síťové a informační systémy napříč členskými státy. Tato harmonizace není pouze formální záležitostí, ale odráží skutečnou potřebu jednotného přístupu k ochraně kritické infrastruktury a citlivých dat v rámci celého evropského prostoru.

Evropská unie dlouhodobě usiluje o vytvoření bezpečného digitálního prostředí, kde by mohly fungovat jak veřejné instituce, tak soukromé subjekty bez obav z kybernetických útoků a narušení kontinuity poskytovaných služeb. Směrnice NIS2 rozšiřuje působnost původní směrnice NIS a zavádí přísnější požadavky na řízení rizik a oznamovací povinnosti. Česká republika musela tyto požadavky promítnout do svého právního řádu prostřednictvím komplexní novely stávajícího zákona o kybernetické bezpečnosti.

Jedním z klíčových aspektů harmonizace je rozšíření okruhu regulovaných subjektů. Zatímco původní zákon se zaměřoval primárně na provozovatele základních služeb a poskytovatele digitálních služeb, novela přináší mnohem širší záběr. Do působnosti zákona nově spadají subjekty z oblasti zdravotnictví, energetiky, dopravy, bankovnictví, ale také poskytovatelé poštovních a kurýrních služeb nebo výrobci kritických produktů. Toto rozšíření odpovídá evropskému přístupu, který reflektuje rostoucí digitalizaci prakticky všech oblastí společenského a ekonomického života.

Harmonizace se dotýká také způsobu kategorizace subjektů. Novela zavádí rozdělení na důležité subjekty a klíčové subjekty, což odpovídá evropskému rozlišení mezi important entities a essential entities. Tato kategorizace není samoúčelná, ale určuje míru povinností a intenzitu dohledu, kterému budou jednotlivé subjekty podléhat. Klíčové subjekty čelí přísnějším požadavkům a intenzivnějšímu dohledu ze strany Národního úřadu pro kybernetickou a informační bezpečnost, zatímco důležité subjekty mají poněkud mírnější režim, který však stále zajišťuje odpovídající úroveň ochrany.

Dalším významným prvkem harmonizace je sjednocení oznamovacích povinností při kybernetických bezpečnostních incidentech. Evropská unie stanovuje jasné lhůty a postupy pro hlášení incidentů, které mohou mít významný dopad na poskytování služeb nebo na bezpečnost uživatelů. Novela zákona tyto požadavky přejímá a specifikuje konkrétní postupy pro české prostředí, včetně určení příslušných orgánů a formátů pro předávání informací.

Harmonizace zahrnuje rovněž posílení pravomocí dozorových orgánů a zavedení efektivních, přiměřených a odrazujících sankcí. Evropská unie klade důraz na to, aby sankce za porušení povinností v oblasti kybernetické bezpečnosti byly skutečně účinné a motivovaly subjekty k plnění jejich závazků. Novela proto zavádí systém pokut, které mohou v závažných případech dosahovat milionových částek nebo procenta z celkového ročního obratu organizace.