NIS2 a nový zákon o kybernetické bezpečnosti
S novelou zákona o kybernetické bezpečnosti implementující směrnici NIS2 přichází celá řada změn. Zpřísňuje například regulaci a rozšiřuje okruh povinných osob, na které se bude nové nařízení vztahovat, představuje také některé nové povinnosti. Přestože je transpozice směrnice v České republice teprve na začátku legislativního procesu, účinnost zákona se předpokládá již do konce roku, je proto nejvyšší čas se na něj intenzivně připravovat.
Co je NIS2 a jak souvisí se zákonem o kybernetické bezpečnosti?
Network and Information System Directive 2 (NIS2) je evropská směrnice, která stanovuje pravidla a požadavky pro oblast kybernetické bezpečnosti a ICT systémů a sítí (návaznost na směrnici NIS). V platnost vstoupila na začátku roku 2023. NIS2 je vedle nařízení DORA a směrnice CER dalším z legislativních nástrojů Evropské unie, které mají za cíl zvýšit digitální provozní odolnost a kybernetickou bezpečnost všech relevantních subjektů operujících v Evropské unii a chránit tak kritickou infrastrukturu.
Konečné znění směrnice NIS2 bylo zveřejněno v Úředním věstníku Evropské unie dne 27. prosince 2022 ve všech úředních jazycích Evropské unie. V České republice přitom jako jedné z prvních členských států EU rozběhl proces formulace vnitrostátních zákonů a pravidel, které bude nutné plnit.
Implementace NIS2 v ČR je zajištěna novelou zákona o kybernetické bezpečnosti (ZoKB) z pera NÚKIB, jenž zcela první verzi zveřejnil již počátkem roku 2023 a vyzval k diskusi, na kterou navazoval sběr připomínek z mezirezortního řízení a následné přepracování znění zákona. V prosinci 2023 NÚKIB představil druhou verzi upravenou právě na popud připomínek, které obdržel. Stále se nicméně nejedná o finální znění a předpokládá se, že v rámci standardního legislativního procesu dojde k dalším změnám, které bude třeba vzít v potaz.
Na koho se NIS2 a ZoKB budou vztahovat?
Nová pravidla vycházející z NIS2 se vztahují na jakékoli provozovatele regulovaných služeb nejen z EU, ale také ty operující v EU a subjekty splňující kritéria středního nebo velkého podniku dle Evropské komise, tj. více než 50 zaměstnanců a obrat od 10 milionů EUR. Jde o organizace operující ve veřejném i soukromém sektoru a představující kritické či důležité sektory, například subjekty zajišťující výrobu a distribuci elektřiny, zdravotní péči nebo služby elektronických komunikací. Celkově se ale jedná o více než 60 služeb, jejichž přehled je uveden níže. V České republice samotné se tak NIS2 dotkne odhadem nejméně 6 000 entit.
Stáhnout PDF »
Co bude hrozit v případě nedodržování pravidel?
Aby bylo možné požadavky směrnice NIS2 po promítnutí jejího obsahu do českého právního řádu efektivně vymáhat, zavádí směrnice sadu sankcí a kontrolních prostředků, a to včetně pokut, tzv. jiných správních trestů jako pozastavení platnosti certifikace a výkonu řídicí funkce a pozastavení výkonu řídicí funkce fyzické osobě.
Vyzkoušet NIS2 Maturity Assessment Tool »
Jak můžeme pomoci?
V Deloitte nabízíme právní i konzultační služby související s novou legislativou. Pomůžeme vám i s řízením kybernetických rizik.
Přehled všech odvětví (PDF)
Brožury na této stránce jsou pouze informativní a byly vytvořeny podle předběžného návrhu novely zákona o kybernetické bezpečnosti z dílny NÚKIB, který byl mezitím přepracován a momentálně je v legislativním procesu. Jeho finální podoba bude známa až na jeho konci.
