Postupné zařazení evropské kyberbezpečnostní směrnice NIS2 do českého právního řádu pokračuje, součástí je i řízení dodavatelů, díky kterému by měl úřad získat lepší kontrolu nad zakázkami. Velké firmy budou procházet audity co dva roky a za nedodržování budou hrozit pokuty ve výši stovek milionů. Směrnice NIS2 má sloužit k lepšímu zabezpečení evropského kybernetického prostoru. Než se z ní ale stane český zákon, musí projít standardním procesem. Jedna z hlavních výtek k současnému znění se týká takzvaného řízení dodavatelů — směrnice tu totiž v režimu „essential“ pamatuje i na kontrolu subdodavatelů, přičemž tyto požadavky nebudou chápány jako omezení hospodářské soutěže. Proti tomu se ohradila například Hospodářská komora, která návrh zákona v současné podobě považuje za nepromyšlený, co se týče jeho realizovatelnosti a dopadů. Navrhuje přitom, aby se navrhovaná omezení týkala pouze těch nejkritičtějších úseků infrastruktury. Národní úřad pro kybernetickou bezpečnost (NÚKIB) by tak nemohl zakázat zařízení od určitých dodavatelů kdekoliv. Součástí směrnice je i řada dalších nařízení — subjekty budou mít například za povinnost útoky jednotně a automatizovaně hlásit přes portál NÚKIB, který má pro tento účel vzniknout.
Není čas ztrácet čas, firmy by měly zpozornět
Pokud vše půjde podle plánu, měl by nový zákon začít platit ve druhém kvartálu příštího roku. Pro české firmy to bude nutně znamenat zavádění řady změn, mnoho z nich ale už teď funguje na podobných principech, které bude zákon nařizovat. „NIS2 v podstatě formou zákona ukotví to, co by mělo být v rámci kyberbezpečnosti normální už v této chvílí,“ říká Adam Koudela, expert na kyberbezpečnost ostravské společnosti Xevos. Ty společnosti, které dosud standardy na úrovni NIS2 zavedeny nemají, čeká relativně hodně práce a čas se začíná krátit. Z dřívějšího průzkumu Xevosu ale vyplynulo, že 93 % firem předem nepodniká žádné kroky a čeká až na finální znění zákona. Povinnosti z něj vyplývající s sebou ale pochopitelně nesou také represe, neznalost a zanedbání jejich implementace se tak firmám může výrazně prodražit. Při závažném podezření zákon umožní úřadu NÚKIB namátkové kontroly, klíčové bude mít v pořádku dokumentaci a její implementaci do praxe. Sankce za nedodržení budou relativně přísné, bude to například stopnutí certifikace nutné pro danou službu nebo časově omezený zákaz vykonávání této služby pro konkrétního zaměstnance. „Do tuhého půjde, co se týče pokut. V režimu essential a important budou sazby odlišné, v obou případech ale mohou firmy citelně zasáhnout. V nejhorších případech mohou dosáhnout až na 240 milionů korun,“ vysvětluje Adam Koudela.
/pb/
