Požadavky na kybernetickou bezpečnost po NIS2 – jak aktuálně vypadá návrh zákona o kybernetické bezpečnosti
Česká republika se intenzivně připravuje na implementaci nové směrnice NIS2 o kybernetické bezpečnosti. V prosinci 2023 předložil Národní úřad pro kybernetickou a informační bezpečnost návrh zákona o kybernetické bezpečnosti, který má transponovat a aktualizovat stávající právní rámec. Plánovaný termín účinnosti tohoto zákona je říjen 2024, kdy končí transpoziční lhůta směrnice.
Navrhovaný zákon zásadně mění regulaci kybernetické bezpečnosti a očekává se, že se v České republice dotkne více než 6 000 organizací. Požadavky na kybernetickou bezpečnosti se budou týkat organizací poskytující přes 105 služeb v 18 odvětvích, kdy klíčovým kritériem pro zařazení do regulace bude velikosti organizace určená podle počtu zaměstnanců nebo finanční situace. Nový přístup k určení rozsahu regulace se zaměřuje na celé služby namísto specifických systémů.
Organizace podléhající regulaci budou mít povinnosti v oblasti hlášení údajů, stanovení rozsahu řízení kybernetické bezpečnosti, zavedení bezpečnostních opatření, hlášení kybernetických bezpečnostních incidentů, informování zákazníků a provedení protiopatření. Zároveň se zavádějí nové požadavky, jako je zajištění dostupnosti regulované služby nebo mechanismus prověřování bezpečnosti dodavatelského řetězce.
Během meziresortního připomínkového řízení, které probíhalo od poloviny roku 2023, Národní úřad pro kybernetickou a informační bezpečnost zpracoval 886 připomínek od 51 připomínkových míst. Z nich 518 bylo zásadních a 368 doporučujících. Ačkoliv bylo souhlasně vypořádáno 2/3 připomínek, některé rozpory přetrvaly, zejména ohledně Mechanismu prověřování bezpečnosti dodavatelského řetězce. Tyto rozpory by měly být řešeny v prvním pololetí roku 2024 na úrovní vlády.
Adam Kučínský
Kybernetické bezpečnosti se profesně věnuje od roku 2014. Zabývá se zejména řízením bezpečností informací, krizovým řízením, problematikou ochrany klíčových informačních a komunikačních systémů státu a regulatorními otázkami s tím spojenými. Ještě pod hlavičkou Národního bezpečnostního úřadu pracoval na vzniku prvního zákona o kybernetické bezpečnosti a podílel se na vzniku Národního úřadu pro kybernetickou a informační bezpečnost.
Od roku 2018 působí jako ředitel odboru regulace na Národním úřadě pro kybernetickou a informační bezpečnost. Jeho hlavní odpovědností je implementace a dohled nad zákonem o kybernetické bezpečnosti, nastavení regulatorních požadavků a příprava legislativy a bezpečnostních standardů v oblasti kybernetické bezpečnosti.
Vedle toho již několik let spolupracuje jako externí lektor s vysokými školami a dalšími vzdělávacími institucemi a o problematice kybernetické bezpečnosti přednáší na odborných konferencích.