Kritická infrastruktura představuje klíčové prvky a subjekty, u nichž by narušení funkce mělo vážné dopady na fungování a bezpečnost společnosti a státu. S implementací směrnice, k níž musí dojít nejpozději do 17. října, budou zavedeny přísnější bezpečnostní standardy a zároveň bude kladen větší důraz na spolupráci mezi členskými státy EU. Tím by podle Vlachové mělo dojít k efektivnějšímu předcházení rizik.
Jaké závazky z toho plynou pro Česko?
Státy mají především povinnost identifikovat kritické subjekty, a to do roku 2026. Tento proces bude nutné opakovat a udržovat tak aktuální seznam subjektů, které jsou považovány za kritické pro národní bezpečnost a hospodářství. Dále bude nutné vytvořit a aplikovat strategii pro zvýšení odolnosti kritických subjektů a zavést nad nimi účinný dohled.
Můžeme tedy očekávat legislativní změny i na úrovni českého právního řádu?
Vzhledem k tomu, že CER má právní podobu směrnice, není tento předpis přímo závazný. Transpozice do českého právního řádu je tedy nutností. V současnosti je v přípravách nový zákon o kritické infrastruktuře. Už teď je ale zřejmé, že se ho nepodaří přijmout v rámci stanovené implementační lhůty, ale pravděpodobně až v roce 2025.
Co brání včasnější implementaci této legislativy?
Obdobně jako v případě zákona o kybernetické bezpečnosti i zde jsou některé rizikové oblasti, které brzdí přípravu zákona. Ze strany odborné veřejnosti jsou kritizována zejména některá navrhovaná ustanovení týkající se bezpečnosti dodavatelského řetězce či vysokých sankcí. Vesměs se jedná o nástroje, které přímo nevycházejí ze směrnice CER a jsou specifikem navrhované české úpravy.
Přibydou samotným subjektům, které spadají do kritické infrastruktury, nové povinnosti?
Ano, a to zejména těm, které dosud pod podobnou regulaci nespadaly. Tyto subjekty navíc budou muset – v souladu se strategií státu – pravidelně vyhodnocovat rizika a hlásit je dohledovým orgánům. Mimoto bude nutné zavést pokročilé bezpečnostní systémy v rámci fyzické i digitální bezpečnosti, které budou podléhat pravidelným auditům. Součástí systému budou i školení pro zaměstnance a management, aby mohli efektivně čelit případným hrozbám.
Dopadnou nějaké změny i na jejich dodavatele?
Směrnice CER přinese zvýšení odpovědnosti dodavatelů za zabezpečení služeb a produktů poskytovaných subjektům kritické infrastruktury. Vzhledem k tomu, že samotné subjekty kritické infrastruktury budou mít povinnost sledovat a hlídat bezpečnost svých dodavatelů, budou po těchto dodavatelích rovněž požadovat prokázání splnění různých bezpečnostních požadavků.
Na co by se měly subjekty, na které nová legislativa dopadne, připravit?
V tuto chvíli bych doporučila zejména pečlivé prostudování samotné směrnice CER a monitoring legislativního procesu nového zákona o kritické infrastruktuře. V rámci zajištění souladu s novou právní úpravou pak bude vhodné začít tzv. GAP analýzou, která identifikuje, nakolik jsou vyžadovaná opatření již plněna. U opatření, která naplněna nejsou, je pak nutné určit postup, kterým bude shody s legislativou dosaženo. Po implementaci nové právní úpravy v organizaci je pak nutné zavedená opatření průběžně kontrolovat a vyhodnocovat a v případě potřeby měnit. Nové povinnosti se tak stanou součástí širšího compliance společnosti, resp. jedním z jeho pilířů.
Jaké budou náklady firem na tyto změny?
Náklady firem související s implementací směrnice CER do vnitrostátního práva budou vyplývat hlavně z velikosti daného subjektu a kritičnosti služeb, které poskytuje. Mohou tak oscilovat v řádu od statisíců po desítky milionů. Důležitým faktorem je také současný stav nastavených procesů. Pro minimalizaci nákladů bych doporučila včasnou přípravu na povinnosti, které ze směrnice CER vyplývají, a jejich rozložení v delším čase.
Článek vyšel v prioritymagazin.cz (1. 8. 2024)
