Evropská Unie v roce 2022 přijala směrnici NIS2 o společných pravidlech dodržování kyberbezpečnosti, která bude implementovaná do českého práva formou nového Zákona o kybernetické bezpečnosti (nZKB). Ačkoli předpisy počítají s tím, že kybernetickým útokům nejde úplně předcházet, je třeba tyto povinnosti brát vážně a na implementaci se připravit. V tomto článku se věnujeme možným sankcím, které hrozí firmám a jejich statutárním orgánům za nedodržení stanovených pravidel podle poslední verze návrhu zákona.
Kontrola a případný finanční postih až 250 milionů korun
Státním úřadem, který bude na plnění nZKB dohlížet, bude Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Návrh zákona úřadu dává pravomoc vykonávat kontroly, ukládat nápravná opatření a rovněž i vyměřovat pokuty v případě zjištěných pochybení.
Základním postihem tak je pokuta až do výše 10 mil. EUR (250 milionů korun) nebo 2 % ročního obratu (podle toho, co je vyšší). Drakonické číslo ale vyplývá přímo ze společné směrnice a cílí na evropské nebo globální giganty. Úřad by měl o pokutách rozhodovat tak, aby byly přiměřené a nebyly pro společnost prakticky likvidační. Samozřejmě ale také nepůjde jen o tisíce korun.
Strašák větší než finanční pokuta – ztráta certifikace a statutár na trestné lavici
Z návrhu zákona o kybernetické bezpečnosti vyplývá, že finanční sankce nemusí být tím jediným sankčním mechanismem. Nabízí se hned dvě další hrozby; pozastavení platnosti bezpečnostní certifikace, a hlavně pozastavení výkonu funkce pro statutární orgán.
Podle návrhu zákona může NÚKIB společnosti pozastavit platnost evropského certifikátu kybernetické bezpečnosti, jehož cílem je dokládat důvěryhodnost firem a produktů. Největším “strašákem” ale může být neobvyklý institut pozastavení výkonu funkce pro statutární orgán, případně jiné osoby. V případech pozastavení platí až do doby odstranění nedostatků, nejméně však na dobu 6 měsíců.
Společnost bez bezpečnostní certifikace, případně bez jednatele nebo jiné vedoucí osoby, samozřejmě může být významně paralyzovaná. Může být ztížené každodenní vedení (např. podepisování smluv), ale například i účast ve veřejných zakázkách.
Tyto sankce je ale naštěstí možné uvalit pouze na subjekty v režimu tzv. vyšších povinností. Jedná se o menší část všech firem a orgánů, na které se povinnosti dle NIS2/nZKB vztáhnou. Hrozba platí také až pro situace, kdy společnost porušila své povinnosti při vedení firmy a maří odstraňování nedostatků zjištěných při kontrole. Netýká se to tedy situací, kdy dojde k zanedbání při přípravě na plnění požadavků kybernetické bezpečnosti.
Co s tím? Jako vždy s klidnou hlavu.
Je třeba si uvědomit, že kybernetická bezpečnost není pouze zbytečnou právní regulací. V době, ve které žijeme, je ochrana před kybernetickými hrozbami stejně důležitá, pokud ne důležitější než ochrana fyzická. Jednoduchý útok může společnost ochromit finančně, reputačně i operativně a přinést tak velké ztráty. Aktivní řízení kybernetické bezpečnosti se tak musí stát nezbytnou součástí každé střední a větší firmy. Dobrou zprávou ale je, že společnosti mají k dispozici celou řadu dotačních programů, které lze pro zvýšení kybernetické bezpečnosti využít.
„…v současné době je v dotačních programech na podporu kyberbezpečnosti připraveno více než 8 miliard Kč pro veřejné i soukromé subjekty a zároveň zaznamenáváme rekordní zájem o pomoc při přípravě dotačních projektů od našich klientů z celého veřejného sektoru. Stát se v tomto případě při nastavení programů zachoval mimořádně strategicky…“
Jiří Pavlíček, Managing partner, enovation s.r.o.
Za druhé, jako vždy, důležitá je správná komunikace s úřady. Český úřad patří mezi ty nejaktivnější v EU a snaží se implementaci co nejvíce usnadnit. Pokud kontrolovaný subjekt poskytuje součinnost a prokáže, že vynaložil určité úsilí na zajištění kyberbezpečnosti, na případné zjištěné nedostatky NÚKIB bude určitě nahlížet shovívavěji.
Projekt implementace nových pravidel podle NIS2 může pro společnosti, na které se kyberbezpečnost bude vztahovat nově, působit náročně až nezvladatelně. Nicméně to by nemělo společnosti odradit s přípravou začít, navíc na trhu je dostupná celá řada zkušených dodavatelů, kteří mohou společnosti implementací provést. A jejich využití může proces značně urychlit, a dokonce i náklady snížit. “NIS2 i nZKB přináší celou řadu povinností. Splnit všechny by určitě bylo extrémně finančně náročné. Ale ne všechny společnosti musí řešit všechny vyjmenované požadavky. Správně provedený audit a analýza může určit jen ty povinnosti, které jsou pro konkrétní společnost opravdu nezbytné” dodává Tomáš Pauch, advokát z AK eLegal a člen nezávislé informační a poradenské platformy Aliance NIS2 READY. S ohledem na počet nových povinných subjektů je však třeba s implementací neotálet, protože na našem území jsou počty odborníků v této oblasti omezené a v roce 2024 lze očekávat výrazný nárůst poptávky a hrozí i nedostatek kapacit.
