Odpovědnost managementu v oblasti kybernetické bezpečnosti – dosavadní zkušenosti a nástrahy nové legislativy

Příspěvek se zaměří na dosavadní praktické zkušenosti s odpovědností managementu organizace za zajištění kybernetické bezpečnosti plynoucí ze současné právní úpravy, včetně aktuální judikatury a zkušeností z dohledové činnosti NÚKIB.

Dále bude pojednáno o změnách, které přichází v souvislosti s novou právní úpravou. Směrnice NIS 2 přenáší v řadě oblastí odpovědnost za zajištění kybernetické bezpečnosti organizace na vrcholové vedení. Mezi tyto povinnosti patří například stanovení bezpečností politiky a cílů systému řízení bezpečnosti informací a zajištění zdrojů k uvedení do praxe. Vrcholné vedení dále musí zajistit efektivní obsazení bezpečnostních rolí, které budou zajišťovat informační a kybernetickou bezpečnost v organizaci. Management společnosti se rovněž bude muset prokazatelně účastnit školení v oblasti kybernetické bezpečnosti a bude na základě seznámení a schválení s příslušnou dokumentací určovat strategii v řízení kybernetických bezpečnostních hrozeb. 

Směrnice NIS 2 však není jedinou novou legislativou, která upravuje problematiku kybernetické bezpečnosti. Je třeba brát v potaz i další právní předpisy, jako například nařízení DORA, směrnici CER, nebo nařízení CRA.

Návrh nového zákona o kybernetické bezpečnosti přímo nedefinuje pojem vrcholného vedení, ani jeho povinnosti. Definice vrcholného vedení a bližší popis jeho povinností je obsažen v návrhu prováděcí vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností. 

Příspěvek se bude věnovat zejména problémům spojených s výkladem povinností managementu dle NIS 2 a nového zákona o kybernetické bezpečnosti a jejich praktické aplikaci, např. v koncernech se zahraniční účastí či ve veřejném sektoru. Dále bude vysvětleno rozložení povinností členů managementu společnosti v systému řízení bezpečnosti informací. 

V neposlední řadě budou představeny sankce, které hrozí při nesplnění povinností dle nové legislativy, a to včetně možného uložení zákazu výkonu funkce. Za povinností plynoucích z nového zákona o kybernetické bezpečnosti bude moci NÚKIB uložit pokuty až do výše 2 % čistého celosvětového ročního obratu podniku nebo skupiny podniků. Vzhledem k přímé odpovědnosti vrcholového vedení může porušení péče řádného hospodáře vést v krajním případě k povinnosti nahradit organizaci způsobenou škodu. 

Barbora Vlachová

Barbora Vlachová působí v advokátní kanceláři PORTOS, kde vede právní tým specializovaný na právo IT, kybernetickou bezpečnost a ochranu osobních údajů. Působí rovněž jako pedagog na Policejní akademii České republiky a Vysoké škole ekonomie a managementu.

Pravidelně publikuje, je např. autorkou komentáře k zákonu o elektronických komunikacích a spoluautorkou komentáře k zákonu o kybernetické bezpečnosti a zákonu o zpracování osobních údajů. Vystupuje také na odborných konferencích a seminářích.

Je členkou sekce České advokátní komory pro IT a GDPR a působí jako rozhodce u Rozhodčího soudu při Hospodářské komoře ČR a Agrární komoře ČR. Aktivně působí v české pobočce organizace AFCEA (Armed Forces Communications & Electronics Association).

Je držitelkou ocenění Právník roku 2023 v kategorii Právo IT.