Finanční a ekonomické informace (faei.cz) na to upozornila poradenská společnost BDO, která poskytuje auditorské, daňové, právní, účetní, znalecké a poradenské služby. Problém je v tom, že se zákon implementující evropskou směrnici NIS2 může na firmu vztahovat kvůli jejím vedlejším aktivitám.
„Firmy, které se domnívají, že se jich NIS2 netýká, by si měly pečlivě zanalyzovat nejen své hlavní podnikatelské činnosti, ale i vedlejší či doplňkové aktivity,“ doporučil Libor Šrám, odborník na kyberbezpečnost firem z BDO.
Firma s nabíjecími stanicemi
„Regulace se totiž může vztahovat nejen na primární sektor jejich podnikání, ale také na související činnosti, které zasahují do regulovaných oblastí,“ dodal Šrám. Jako příklad uvedl firmy věnující se výrobě nebo logistice.
Společnost BDO uvedla několik modelových situací, které ukazují, jak by se nová pravidla o kybernetické bezpečnosti mohla podniků dotknout. Jde například o logistickou firmu s vlastními nabíjecími stanicemi pro elektromobily.
Tyto podniky mohou spadat pod NIS2, pokud nabíječky slouží i externím uživatelům – třeba partnerským dopravcům nebo veřejnosti. „Provozovatelé nabíjecí infrastruktury spadají pod regulaci, pokud poskytují veřejnou službu nebo jsou součástí kritické energetické infrastruktury,“ vysvětlil Libor Šrám.
Dalším příkladem je výrobní firma, která má na střeše nainstalovanou fotovoltaickou elektrárnu a dodává přebytky do sítě. V tom případě se jí nový zákon týká, pokud jsou tyto přebytky „významného objemu“.
„Pokud organizace využívá solární energii pouze pro vlastní spotřebu, nepodléhá regulaci. Pokud však dodává významné přebytky do distribuční sítě, může být považována za součást energetické infrastruktury a podléhat požadavkům NIS2,“ uvedl Šrám.
Další oblastí, kde se mohou uplatňovat nová pravidla NIS2, je skladování nebo recyklace nebezpečného průmyslového odpadu. Týká se firem, které „nakládají s odpadem zásadního významu pro ochranu veřejného zdraví a životního prostředí“.
NIS2 totiž reguluje oblasti, jejichž narušení by mohlo způsobit vážné ekologické nebo zdravotní dopady. Pokud tedy podnik hraje výraznou roli v ochraně životního prostředí, je možné, že se na něj nový zákon bude vztahovat.
Až stamilionová pokuta
Podobných příkladů je více, proto se firmám vyplatí zkontrolovat si, jestli se jich nová pravidla nedotknou – byť okrajově. Sankce za nedodržení zákona jsou totiž opravdu vysoké, jak faei.cz upozornili experti na kybernetickou bezpečnost ze společnosti Exclusive Networks.
Kontrolu nad dodržováním nového kybernetického zákona bude mít na starosti Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Kontroly mohou být plánované, podle ročního kontrolního plánu, ale také mimořádné, například na základě nějakého incidentu či oznámení.
„U kontroly může jít o fyzickou kontrolu na místě, ale také o dálkovou elektronickou kontrolu. Kontroloři mohou požadovat přístup k systémům, datům, auditním záznamům, bezpečnostním politikám a školícím materiálům,“ uvedl Hynek Vácha ze společnosti Exclusive Networks.
Případná výše pokuty se odvíjí od režimu, v němž podnik funguje. „V nižším regulatorním režimu hrozí maximální pokuta 175 milionů Kč nebo 1,4 procenta z ročního světového obratu,“ sdělil Vácha. Ve vyšším stupni to ale může být až 250 milionů nebo 2 procenta z obratu.
Finanční sankce však nejsou jediným možným trestem, dalšími jsou pozastavení platnosti certifikace, což může nastat v případě, pokud NÚKIB uloží podniku odstranit nedostatky a firma to nesplní. Krajní sankcí je pak dočasný zákaz výkonu funkce člena statutárního orgánu fyzické osobě.
