Směrnice NIS2 a nový Zákon o kybernetické bezpečnosti
Tým PwC složený ze specialistů na kyberbezpečnost, právo, digitalizaci a další obory vám pomůže se splněním povinností souvisejících s NIS2. Od bezpečnostní a právní analýzy přes strategii, financování až po design a implementaci. Nabízíme také outsourcing samotného provozu systému řízení bezpečnosti (“ISMS”) a vzdělávání zaměstnanců.
Co je směrnice NIS2?
NIS2 je aktualizovanou verzí směrnice NIS (Network and Information Security) z roku 2016. NIS2 výrazně rozšiřuje oblast působnosti platné legislativy a představuje nové řešení pro posílení a zabezpečení evropského kyberprostoru. Členské státy EU mají za povinnost tuto směrnici adaptovat do svého právního řádu.
Po publikování finálního znění směrnice NIS2 v Úředním věstníku Evropské unie zveřejnil NÚKIB na konci ledna 2023 návrh znění nového Zákona o kybernetické bezpečnosti. NÚKIB taktéž navrhl nejít cestou novelizace současného zákona, ale kompletně novým zákonem. Tento nový zákon o kybernetické bezpečnosti byl 26. června 2025 byl podepsán a schválen prezidentem ČR a stane se účinným zřejmě k 1. listopadu 2025.
Hlavní navržené změny tohoto zákona
- Větší počet regulovaných organizací a služeb
- Větší nároky na bezpečnost dodavatelského řetězce
- Hlášení incidentů
- Pokuty
- Odpovědnost a povinnosti vedení
Větší počet regulovaných organizací a služeb
Jedním z cílů směrnice NIS2 je zvýšení úrovně bezpečnosti nejen v prostředí „VIP klubu“, ale zajistit bezpečnost u většiny významných prvků národní infrastruktury a služeb. Nový zákon se bude vázat nejen na nové regulované subjekty, ale často bude také rozšiřovat rozsah účinnosti zákona na větší počet systémů a služeb v rámci stejné organizace, které již podléhají současnému zákonu z roku 2014.
Z regulovaných oblastí služeb se jedná o veřejnou správu, energetiku, výrobní průmysl, potravinářský průmysl, chemický průmysl, vodní a odpadové hospodářství, drážní, vodní a silniční dopravu, digitální infrastrukturu a služby, finanční trhy, zdravotnictví, vědu, výzkum a vzdělávání, poštovní služby, vojenský a vesmírný průmysl. Kompletní výčet je k dispozici v návrhu Vyhlášky o regulovaných službách.
Větší nároky na bezpečnost dodavatelského řetězce
Evropský regulátor i NÚKIB přikládají stále větší významnost bezpečnosti dodavatelů. Důvodem jsou jak stále častější úspěšné útoky z poslední doby skrze dodavatelský řetězec (jako tomu bylo v případech Solarwinds, Okta, LastPass a mnoho dalších), tak i zvyšující se závislosti v řetězci. V analogii z fyzického světa jsou vidět závislosti v dodavatelském řetězci u dostupnosti a cen energií a pohonných hmot v kontextu války na Ukrajině. Z pohledu kybernetické bezpečnosti mohou tyto vazby na třetí strany být daleko nenápadnější a v určitých ohledech fatálnější (například nedávné zranitelnosti Log4j nebo OpenSSL).
Nový zákon udává povinnost aktivně řídit kyberbezpečnost v rámci výběru svých dodavatelů, kdy pro významné dodavatele stanovuje další povinnosti včetně požadavků na obsah smlouvy s dodavatelem, vyhodnocení implementovaných bezpečnostních opatření dodavatele a návazných rizik, přezkoumávání smluv a pravidelnou kontrolu opatření dodavatele.
Úplnou novinkou nového zákona je začlenění hodnocení NÚKIB do procesu výběru významného dodavatele (platné pro poskytovatele strategicky významné služby). Cílem je zde začlenění a zmírnění závislostí v kontextu strategických a politických zájmů České republiky. NÚKIB v rámci tohoto procesu plánuje vyhodnocovat oblasti, jako jsou země působnosti dodavatele, trestná činnost dodavatele, ekonomická aktivita, jednání zástupců dodavatele a další oblasti.
Hlášení incidentů
Hlášení kybernetických incidentů NÚKIB, resp. národnímu CERT je zakotveno již v současné právní úpravě. Nově tuto povinnost bude mít větší rozsah společností (v návaznosti na rozšíření rozsahu povinných subjektů popsaných v bodě 1). Povinnost je dále rozšířena také na oznámení incidentu uživatelům služby.
Pokuty
Nový zákon přitvrzuje v oblasti pokut, které mohou vystoupat až do výše 250 000 000 Kč nebo 2 % z čistého obratu za poslední ukončené účetní období, kterákoliv z částek bude vyšší.
Odpovědnost a povinnosti vedení
Záměrem NIS2 je i zvýšení odpovědnosti vrchovolého vedení organizace by měla být zvýšena odpovědnost vrcholového vedení organizace za kyberbezpečnost a dodržování souladu se zákonem. Relativně významná část nového zákona je věnována právě povinnostem vrcholového vedení, mezi které patří zajištění stanovení bezpečnostní politiky a cílů, zajištění dostatečných zdrojů, komunikaci důležitosti bezpečnosti ve společnosti, participace na řízení kybernetických rizik a řada dalších povinností.
Co naopak zůstává podobné
Nový zákon o kybernetické bezpečnosti je, stejně jako současné znění o kybernetické bezpečnosti je, stejně jako současné znění, založený na mezinárodně uznávaných standardech rodiny ISO 27000, a tedy nepředstavuje (až na výjimky) nové koncepty a opatření, které by již jinak vyspělá společnost přirozeně neaplikovala.
Jak vám může pomoci PwC
Tým PwC složený jak z expertů na kyberbezpečnost, tak i právníků PwC Legal a případně odborníků na veřejný sektor nabízí kompletní balíček služeb zaměřených na splnění povinností souvisejících s NIS2.
Kde začít - úvodní balíček
V rámci vyrovnání se s dopady požadavků NIS 2 na fungování společnosti PwC doporučuje zvolit následující postup:
Analýza dopadu směrnice NIS 2
Pomůžeme vám analyzovat postavení vaší organizace vůči požadavkům NIS2 a identifikovat režim, pod který spadáte. Provedeme vás určením rozsahu řízení kybernetické bezpečnosti ve vztahu k regulovaným službám, které identifikujeme.
Rozdílová analýza současného stavu a požadavkům
Pomůžeme vám identifikovat nedostatky vůči požadavkům a potřebná nápravná opatření pro zajištění souladu.
Analýza a návrh financování
Pomůžeme vám analyzovat možnosti financování z dotačního programu Evropské Unie pro vaši organizaci.
Kontakty
Hledáte experta, který Vám pomůže; chcete poptat naše služby; nebo se zkrátka na něco zeptat? Dejte nám o sobě vědět a my se Vám co nejdříve ozveme zpátky.