Pravidla, která byla dosud spíše doménou IT oddělení, se nově stávají i právní a manažerskou otázkou nejvyšší úrovně řízení. Členové statutárních orgánů budou osobně odpovědní za to, že jejich společnosti zákonu vyhoví.
V případě porušení pravidel hrozí členům statutárních orgánů mimo jiné osobní odpovědnost za způsobenou škodu či nemajetkovou újmu, ručení věřitelům za dluhy společnosti, ale i vyloučení z funkce a zákaz jejího výkonu nejméně po dobu šesti měsíců. Sankce mohou dosahovat až 20 milionů korun. Firmám hrozí až 250 milionů korun, nebo dvě procenta z ročního obratu.
Nový zákon rozlišuje mezi režimem vyšších povinností, režimem nižších povinností a speciálním režimem pro poskytovatele digitálních služeb v závislosti na tom, jak důležitou službu s ohledem na kybernetickou bezpečnost daný subjekt poskytuje.
Povinnosti se tak dotknou široké škály odvětví — od energetiky a zdravotnictví přes dopravu, finance, digitální poskytovatele či veřejnou správu až po výzkumné instituce a průmyslové podniky.
Firmy nejprve musí projít procesem tzv. samoidentifikace, při kterém posoudí, zda vzhledem ke své velikosti, povaze činnosti a sektorovému zaměření spadají do regulace. Pokud podnik zjistí, že se ho regulace týká, musí se registrovat u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).
Následně je povinen implementovat bezpečnostní opatření, která například zahrnují řízení aktiv a rizik, stanovení bezpečnostních rolí, zavedení bezpečnostní politiky, školení zaměstnanců i vedení a pravidelné hlášení incidentů a také důslednou správu bezpečnosti dodavatelských řetězců.
Nová regulace klade důraz na aktivní roli vedení firem. Členové statutárních orgánů musí projít školením, které je seznámí s principy kybernetické bezpečnosti, a zajistit, že jejich společnosti přijmou veškerá nezbytná opatření a budou je dlouhodobě udržovat.
Ve zkratce top management zodpovídá za to, že subjekt, kterého se zákon dotýká, implementuje a dodržuje všechna opatření nezbytná k zajištění souladu. K tomu musí také alokovat potřebné zdroje.
Odpovědnost vedení platí bez ohledu na jeho technickou kvalifikaci a nelze se jí zprostit ani ji smluvně omezit. Zákon tak reflektuje moderní evropský přístup, který má vést k reálnému zvýšení odolnosti podniků vůči kybernetickým hrozbám.
Zákon navíc požaduje, aby subjekty efektivně dokumentovaly své postupy a bezpečnostní opatření tak, aby v případě kontroly mohly prokázat jejich faktickou realizaci. Neplnění povinností může mít nejen za následek vysoké finanční sankce, ale také významné osobní a reputační dopady.
Kyberbezpečnostní zákon vychází z evropské směrnice NIS2, kterou do svého práva transponují členské země EU. A příklad ze Slovenska ukazuje, že minimálně první krok daný zákonem se osvědčil.
Tamní firmy již procesem sebeidentifikace prošly a dobrovolně se registrovalo více než 15 tisíc subjektů, přestože původní odhady hovořily o zhruba devíti tisících.
Podobný nárůst lze očekávat i v České republice, kde je doposud odhadován dopad až na deset tisíc podniků. Konkrétní čísla by měl časem zveřejnit Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který je předkladatelem zákona.
Kyberzákon nabude účinnosti výjimečně 1. listopadu, přestože obvykle zákony započínají platnost buď od ledna, nebo od července. Důvodem je, že Česko nestihlo lhůtu pro transpozici evropské směrnice NIS2 loni v říjnu, a tak se nyní zákon přijímá, jak nejrychleji to bylo možné.
Kolektiv autorů advokátní kanceláře Dentons
(Redakčně upraveno)
