Dosavadní zákon o kybernetické bezpečnosti ukládá povinnosti především těm nejdůležitějším prvkům informační infrastruktury, které zajišťují chod státu nebo poskytování základních služeb. Výčet nově povinných osob bude mnohonásobně delší. Zatímco v současnosti se legislativa týká asi 400 subjektů, NIS2 bude podle velmi zdrženlivého odhadu NÚKIB zavazovat přes 6000 organizací poskytujících služby ve 22 vybraných odvětví od státní správy přes energetiku nebo výrobní průmysl až po poskytovatele digitálních služeb.

Nové povinnosti ale nebudou dopadat na všechny subjekty rovnocenně. NIS2 a podle ní i nový zákon rozdělují povinné osoby do dvou kategorií podle významnosti na důležité a základní, respektive na poskytovatele regulovaných služeb v režimu vyšších a nižších povinností, jak subjekty označuje nový zákon.

Kdo bude muset splnit povinnosti?

Do jakého režimu a zda vůbec který podnik spadne, bude určovat vyhláška o regulovaných službách pomocí tzv. kritérií pro identifikaci poskytovatele regulované služby skládajících se z kritérií služby a kritérií poskytovatele. Kritérium služby bude naplněno, pokud organizace poskytuje některou z tzv. regulovaných služeb vyjmenovaných v příloze vyhlášky podle jednotlivých odvětví. Kritérium poskytovatele pak upřesňuje konkrétní požadavky na způsob poskytování regulované služby a velikost nebo případně jiné vlastnosti podniku poskytovatele, které poskytovatele rozřadí do příslušných režimů, přičemž zásadně platí, že do režimu vyšších povinností budou spadat především velké podniky. Střední podniky naopak spadnou do režimu nižších povinností.

Způsob identifikace si představme na případě smyšlené společnosti provozující elektrárnu s instalovaným výkonem 180 MW, 150 zaměstnanci a její ročním obratem okolo 40 milionů EUR. Energetika je jedním z regulovaných odvětví podle § 4 odst. 2 písmeno b) nového zákona. V příloze vyhlášky o regulovaných službách pak v odvětví Energetika – Elektřina můžeme najít službu Výroba elektřiny, definovanou následujícími kritérii poskytovatele:

Výroba elektřiny
Držitel licence na výrobu elektřiny podle energetického zákona je:

1. poskytovatel regulované služby v režimu vyšších povinností, v případě, že
   1. je velkým podnikem, nebo
   2. disponuje výrobnou s celkovým instalovaným elektrickým výkonem nejméně 100 MW,
2. poskytovatel regulované služby v režimu nižších povinností, v případě, že
   1. je středním podnikem, nebo
   2. disponuje výrobnou s celkovým instalovaným elektrickým výkonem nejméně 50 MW, avšak méně než 100 MW.

Náš smyšlený podnik je držitelem licence na výrobu elektřiny podle energetického zákona, tudíž splňuje kritérium služby, a zároveň, jak z hlediska počtu zaměstnanců, tak výše obratu, naplňuje parametry středního podniku stanovené dle doporučení Komise č. 2003/361/ES o definici malých a středních podniků. Podle velikosti by se tak sice řadil do režimu nižších povinností, ale vzhledem k celkovému instalo­va­né­mu výkonu splňuje taktéž kritérium pro režim vyšších povinností, který má podle § 4 přednost. Provozovatel elektrárny se tak stává poskytovatelem regulované služby v režimu nižších povinností.

Povinnosti poskytovatelů regulovaných služeb

Poté, co se poskytovatel dozví o naplnění identifikačních kritérií (nebo do 90 dnů od jejich objektivního naplnění), musí provést registraci poskytovatele regulované služby na Portálu NÚKIB. Po registraci NÚKIB zapíše poskytovatele do evidence a o zápisu mu pošle písemné vyrozumění, od jehož doručení začínají běžet lhůty ke splnění dalších povinností podle zákona.

Aby mohl zavádět bezpečnostní opatření podle zákona, musí stanovit rozsah řízení kybernetické bezpečnosti. Stanovení rozsahu spočívá v identifikaci všech primárních aktiv v rámci organizace, kterými se rozumí informace a služby, přičemž informacemi jsou také data a provozní údaje, službami také procesy. Z výčtu primárních aktiv pak poskytovatel vybere ta, která souvisí s poskytováním regulované služby, a přiřadí k nim příslušná podpůrná aktiva (zaměstnanci, dodavatelé, objekty, technické a programové vybavení, sítě atp.). Vybraná primární aktiva a k nim přiřazená podpůrná aktiva pak tvoří tzv. „stanovený rozsah“, v rámci kterého bude poskytovatel zavádět bezpečnostní opatření.

Bezpečnostní opatření nepodcenit

Bezpečnostní opatření představují primární povinnosti poskytovatelů, které slouží k naplnění cíle zákona a směrnice NIS2 – zajištění kybernetické bezpečnosti. Nový systém přichází se dvěma sadami organizačních a technických opatření, které odpovídají dvěma režimům poskytovatelů, a to bezpečnostní opatření poskytovatele regulované služby v režimu vyšších a nižších povinností.

Postup zavádění bezpečnostních opatření pro poskytovatele v režimu vyšších povinností je obdobný povinnostem podle současné legislativy. V prvé řadě si organizace musí vytvořit systém řízení bezpečnosti informací, v rámci kterého si stanoví cíle, které by měly směřovat k zajištění bezpečnosti regulované služby, tedy výroby elektřiny, a podle stanovených cílů, bezpečnostních potřeb a hodno­ce­ní rizik poté zavádět postupně zavádět bezpečnostní opatření.

Řízení bezpečnosti by měly vést odpovědní specialisté a nově také vrcholné vedení společnosti. V elektrárně by tak ředitel nebo správní rada mimo jiné odpovídali za výběr odpovědných osob, tzv. bezpečnostních rolí, které se budou v rámci organizace starat o systém řízení bezpečnosti, implementaci opatření nebo bezpečnost jednotlivých aktiv.

Po určení odpovědných osob je nutné v rámci organizace začít s řízením aktiv a rizik, tedy rozdělit informační systémy a technické prostředky podle jejich důležitosti, stejně jako hrozby, kterým mohou čelit, podle jejich dopadu a pravděpodobnosti, že nastanou.

S ohledem na vyhodnocení aktiv a rizik začne elektrárna postupně zavádět další organizační pravidla pro bezpečnost lidských zdrojů, řízení dodavatelů, změny, akvizice, vývoj a údržbu aktiv, přístup k aktivům, zvládání bezpečnostních událostí a incidentů, řízení kontinuity činností a audit kybernetické bezpečnosti.

Kromě organizačních postupů a pravidel musí samozřejmě přijmout i faktická technická opatření k zabezpečení aktiv a mitigaci rizik. Jejich konkrétní minimální úroveň stejně jako v případě organizačních opatření stanovuje vyhláška. Technická opatření mají za cíl zajistit mimo jiné fyzickou bezpečnost, bezpečnost komunikačních sítí, správu a ověřování identit, řízení přístupových oprávnění, detekci, zaznamenávání a vyhodnocování bezpečnostních událostí a incidentů, aplikační bezpečnost, kryptografické algoritmy, zajištění dostupnosti regulované služby a zabezpečení specifických aktiv.

Zavedená opatření je navíc třeba řádně vést v rámci bezpečnostních politik, které mít většinou formu vnitřních předpisů, a dokumentace, jejíž parametry stanovuje vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností v příloze 5.

Na poskytovatele regulovaných služeb v režimu nižších povinností klade zákon výrazně menší zátěž. U opatření, která musí zavádět, platí, že stačí, aby byla přiměřená bezpečnostním potřebám organizace. Dokonce není nutné zavádět všechna bezpečnostní opatření podle vyhlášky pro režim nižších povinností.

Ani poskytovatelé v nižším režimu se však nevyhnou povinnosti přijmout základních opatření v podobě zajištění kybernetické bezpeč­nos­ti, které funguje jako zjednodušená verze systému řízení bezpeč­nos­ti informací, povinností vrcholového řešení (zejm. zajištění zdrojů pro provádění opatření), bezpečnosti lidských zdrojů a pravidel pro řešení a hlášení kybernetických bezpečnostních incidentů. Ostatní opatření vyjmenována ve vyhlášce jako řízení přístupu nebo aplikační bezpečnost plní provozovatelé v nižším režimu pouze dobrovolně, nebo pokud je nutné k zajištění minimální úrovně kybernetické bezpečnosti nad aktivy ve stanoveném rozsahu.

Jakými sankcemi NIS2 hrozí?

Hovoříme-li o NIS2, nelze opominout nové sankce, které s sebou směrnice přináší. Za neplnění povinností bude moct NÚKIB poskytovatelům ukládat pokuty až do výše 100 milionů korun nebo 2 % jejich celosvětového obratu. Pokud se stane, že NÚKIB uloží poskytovateli odstranit nedostatky zjištěné při kontrole a poskytovatel tuto povinnost opakovaně nebude plnit, může navrhnout soudu, aby rozhodl o pozastavení výkonu řídící funkce člena statutárního orgánu, prokuristy, vedoucího odštěpného závodu nebo podnikající fyzické osoby do doby odstranění nedostatků, nejméně však na 6 měsíců.

Nelze tak než doporučit všem organizacím, které jsou aktivní v některém z regulovaných odvětví, aby podle návrhu vyhlášky o regulovaných službách posoudily, zda se stanou při nabytí účinnosti nového zákona, k čemuž by mělo nejspíš dojít v polovině roku 2024, poskytovateli regulované služby, a pokud dojdou k závěru, že ano, aby započaly s přípravami bezpečnostních opatření, nebo alespoň stanovením rozsahu aktiv.

Mgr. et Mgr. Ing. Jan Tomíšek, CIPP/E Autor článku je advokátem a partnerem ROWAN LEGAL. Věnuje se softwarovému právu, elektronickému podepisování a identifikaci, kybernetické bezpečnosti, ochraně osobních údajů a ochraně spotřebitele. Mimo oblast IT se specializuje na přípravu legislativy a stavební právo. Vedle působení v advokacii je externím doktorandem na Ústavu práva a technologií Právnické fakulty Masarykovy univerzity.

Mgr. Jan Hrbek Spoluautor článku působí jako advokátní koncipient v ROWAN LEGAL. Specializuje se na poradenství v oblasti kybernetické bezpečnosti a smluvního práva IT pro korporátní i veřejnoprávní klienty.