Česká republika v únoru dostala vytýkací dopis od Evropské komise za nedostatečnou rychlost v implementaci směrnice NIS2 týkající se kybernetické bezpečnosti. Ta měla být převedena do zákona už na konci října loňského roku. Celý proces trvá dlouho mimo jiné i proto, že Česká republika se rozhodla jít v kyberbezpečnosti až za rámec povinné evropské směrnice. Náměstek ředitele NÚKIB ale pro iDNES.cz vyloučil, že by zpoždění mělo mít negativní dopad na současnou kybernetickou bezpečnost země. Už jen proto, že v Česku funguje podobný zákon od roku 2014.
Debata o kyberbezpečnosti: Experti zákon vítají, investor se obává obřích nákladů |
„Největší rozdíl mezi novým českým zákonem a evropskou směrnicí je mechanismus prověřování dodavatelů v kritické infrastruktuře. Například tak, jak to bylo s dodávkami ropy a plynu, kdy jsme byli závislí na Rusku,“ přibližuje pro iDNES.cz Tomáš Krejčí, náměstek ředitele NÚKIB.
Přijetí nového zákona a evropské směrnice bude znamenat značné rozšíření počtu subjektů, které budou novým pravidlům podléhat. A to ze zhruba pěti set na šest tisíc. Některé ze subjektů jsou navíc podle Krejčího přidané nad rámec evropské směrnice. „Samozřejmě jsou tam přidaná odvětví, která ve směrnici nejsou a jsou pro nás důležitá, ale určitě to není tak, že bychom přidávali nějaké subjekty na sílu,“ obhajuje rozhodnutí náměstek.
Česko nestihlo přijmout nový kybernetický zákon, Evropská komise posílá výtku |
Před takto masivním rozšířením ale varuje Petr Kocmich, bezpečnostní manažer ze společnosti Soitron Group. „Mnoho organizací, které dosud nemusely kyberbezpečnost řešit v takovém rozsahu, bude muset investovat nejen do nových technologií a procesů, ale také do školení zaměstnanců a zavedení bezpečnostních opatření. Zejména menší a střední podniky mohou mít problém s dostupností odborníků a s finančními náklady na splnění požadavků,“ říká pro iDNES.cz.
Samotné rozhodnutí státu rozšířit povinnosti i nad rámec evropské směrnice podle Kocmicha není špatný nápad. „Každá země má své specifické potřeby v oblasti kybernetické bezpečnosti, a proto rozšíření nad rámec NIS2 může mít své opodstatnění, pokud reflektuje reálná rizika. Česká republika má mnoho kritických odvětví závislých na funkční kyberneticky zabezpečené infrastruktuře,“ má jasno.
I proto se NÚKIB rozhodl přistoupit k aplikaci nového zákonu alespoň zčásti selektivně. „Rozdělili jsme povinnosti pro podniky na vyšší a nižší. Do té vyšší kategorie bude spadat pouze zhruba tisícovka subjektů a jedná se opravdu kritickou infrastrukturu typu elektráren a nemocnic,“ obhajuje rozhodnutí Krejčí.
České firmy nejsou připraveny, hrozí jim pokuty, říká expert na kyberbezpečnost |
„Druhý standard jsou opravdu triviální povinnosti. Jedná se o nařízení na aktualizaci softwaru, změny hesel nebo třeba postupu při nějakých útocích. Kdo v dnešní době tato opatření neplní, je sám proti sobě,“ má jasno Krejčí. Podle Kocmicha bude u připravenosti menších podniků rozhodovat také pomoc státu. „Klíčové bude období přechodu a dostupnost podpory ze strany státu, například ve formě metodik, školení či finanční podpory na nezbytná opatření,“ myslí si.
„Nový zákon vydrží alespoň pět let“
Od implementace prvního českého zákona o kyberbezpečnosti uplynula již více než dekáda. Podle Krejčího má nový zákon potenciál vydržet alespoň pět let. „Zákon musí být napsaný tak, aby byl mířený alespoň trochu do budoucna, takže můj odhad je, že pět až deset let zase vydrží. Nikdy to ale není tak, že by regulace předcházely trendům nebo rizikům. Ty trendy se nejdříve musí poznat a až pak na ně můžeme reagovat,“ uvědomuje si náměstek ředitele NÚKIB.
Zákon prošel druhým čtením už v lednu. Jedním z pozměňovacích návrhů, kterým se budou poslanci zabývat, pochází od Vladimíry Lesenské z SPD. Ta kritizuje možnost uchovávání dat českých uživatelů na úložištích mimo EU. „Všechny návrhy se snažíme brát v potaz, ale je třeba myslet na to, aby to zase nekolidovalo s jinými vyhláškami či směrnicemi EU,“ uzavírá Krejčí.
4. října 2023 |
