Nová pravidla přenášejí odpovědnost z IT oddělení přímo na management a dělí subjekty do dvou režimů podle významu služby. Kybernetické incidenty se budou muset hlásit už do 24 hodin od zjištění a organizace dostanou na zavedení bezpečnostních opatření pouze rok. O tom, kdo regulaci podléhá, rozhodne NÚKIB; v přísnějším režimu pak bude povinný i audit kybernetické bezpečnosti. Povinnost dopadne podle odhadů na 6 tisíc. Týkat se může například poskytovatelů cloudových služeb a datových center, dopravních a logistických firem, podniků z energetiky, výroby, vodohospodářství, zdravotnických zařízení, či digitální infrastruktury, ale také některých úřadů, krajů a obcí.
NEJDE JEN O IT ODDĚLENÍ
Pro vedení organizací je důležité, že nové povinnosti nejsou jen technická záležitost pro IT specialisty. „Zákon počítá s tím, že instituce budou muset vědět, které jejich služby a systémy jsou důležité, kdo za ně odpovídá a jak budou postupovat při problému. Odpovědnost se tak v praxi přesouvá zejména na management, který bude muset činit důležitá rozhodnutí a alokovat prostředky pro dosažení souladu s požadavky legislativy. Pro mnoho subjektů to bude znamenat nad rámec technologických opatření také nové vnitřní směrnice, role i procesy,“ říká Radek Dvořáček, senior manažer skupiny Moore Czech Republic.
FIRMY I INSTITUCE MAJÍ PŘÍSNÉ LHŮTY
Jednou z největších novinek je mechanismus takzvané regulované služby. Ty definuje právě nový zákon o kybernetické bezpečnosti. Organizace poskytující tyto činnosti pak mohou být zařazeny do režimu nižších nebo vyšších povinností. Už tady se objevují konkrétní lhůty: pokud subjekt splní podmínky, musí službu ohlásit do 60 dnů prostřednictvím Portálu NÚKIB. Po doručení rozhodnutí o registraci pak musí do 30 dnů nahlásit další údaje, například kontaktní informace a další předepsané údaje, a změny těchto údajů hlásit do 14 dnů.
POUZE ROK NA PŘÍPRAVU
Zákon také výslovně počítá s povinností hlásit kybernetické incidenty v určených lhůtách. Prvotní hlášení má přijít do 24 hodin od zjištění incidentu, další oznámení v určených případech do 72 hodin a závěrečná zpráva do 30 dnů. Zároveň ukládá regulovaným subjektům zavádět technická i organizační bezpečnostní opatření. S plněním těchto povinností musí začít nejpozději do 1 roku od doručení rozhodnutí o registraci.
„Rozdíl mezi nižšími a vyššími povinnostmi bude v praxi dobře vidět. V režimu nižších povinností půjde například o to, aby organizace měla základní přehled, co a jak musí chránit, nastavila základní bezpečnostní pravidla a uměla incident nahlásit pomocí Portálu NÚKIB,“ říká Radek Dvořáček, senior manažer skupiny Moore Czech Republic a dodává: „V režimu vyšších povinností bude rozsah širší. Instituce bude muset mít robustnější řízení bezpečnosti, musí být výrazně důslednější v práci s dodavateli, přístupovými právy, evidencí událostí nebo kontinuitou provozu. Zákon výslovně počítá také s penetračními testy a například obnovením provozu po nečekané události zvané.“
Zákon tak představuje jednu z největších změn v této oblasti za poslední roky. Pro laickou veřejnost je podstatné hlavně to, že kybernetická bezpečnost už není okrajové téma pro úzkou skupinu specialistů. Stává se z ní povinnost, která dopadne na tisíce firem i nefiremních subjektů. A protože zákon zavádí konkrétní termíny, nové ohlašovací povinnosti i rozdílný režim podle významu služby, bude pro řadu organizací důležité začít se na pravidla připravovat včas.
-jik-
