Předloha má mimo jiné umožnit prověření dodavatelů, kteří by mohli představovat pro stát bezpečnostní riziko, a také jejich vyloučení. Návrh počítá také s rozšířením okruhu orgánů a osob, na který dopadá a jehož ochrana a fungování jsou v ekonomickém a celospolečenském zájmu. O nejvýraznějších změnách v oblasti kyberbezpečnosti hovoří v podcastu e15 cast Barbora Vlachová z advokátní kanceláře Portos, vedoucí advokátka právního týmu, který se zabývá především kyberbezpečností, digitální transformací a právem IT.
Nový kyberzákon převádí do českého práva evropskou směrnici o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti známou jako NIS2. Cílem této směrnice je zejména odstranění rozdílů mezi členskými státy EU v oblasti právní regulace kyberbezpečnosti, k nimž došlo na základě transpozice původní směrnice NIS. Směrnice NIS 2 se zaměřuje zejména na posílení kybernetické odolnosti EU a na zvýšení schopnosti reagovat na hrozby a incidenty v kyberprostoru.
„Už teď víme, že jsme implementační lhůtu směrnice nestihli, bylo ji nutné do českého práva transponovat do října letošního roku. A také víme, že nejdříve se nám to může realisticky povést do poloviny příštího roku, přičemž účinnost by mohla nastat až od 1. ledna 2026,“ říká Barbora Vlachová z advokátní kanceláře Portos.
Hlavní prováděcí předpis s kritérii pro určování takzvaných částí strategicky významných služeb tvořících nezbytný rozsah by podle pozměňovacího návrhu nebyl vyhláškou kybernetického úřadu, ale nařízením vlády. Ta by pak nesla patřičnou odpovědnost a určovala i parametry opatření. Vláda by stanovovala strategicky významné služby a posuzovala by podle předkladatele, poslance ODS Pavla Žáčka, nejen dodavatele, ale i bezpečnost země, ze které pochází.
Před hrozbou zvýšených nákladů pro firmy i veřejnou správu a následným dopadem na ceny služeb zákazníků varovala Hospodářská komora. Směrnice NIS2 dopadá na velké a středně velké podniky, ale stát má navíc ještě pravomoc určit kritická odvětví, na které zákon může dopadnout. V konečném důsledku tedy regulace může dopadnout i na menší firmy.
„Nejčastěji se objevuje číslo 6 až 10 tisíc subjektů, na které by zákon mohl dopadnout. Ale už jsem viděla i číslo 12 tisíc,“ říká Barbora Vlachová s tím, že náklady pro firmy mohou dosáhnout až desítek miliard korun.
Hlavním smyslem nového kybernetického zákona je dosáhnout toho, aby důležité organizace zaváděly preventivní kroky k posílení své kybernetické bezpečnosti včetně hlášení a zvládání kybernetických bezpečnostních incidentů.
