Nová česká právní úprava kybernetické bezpečnosti implementuje požadavky stanovené na unijní úrovni směrnicí NIS 2, která byla přijata 14. prosince 2022. Samotný zákon o kybernetické bezpečnosti je účinný od 1. listopadu loňského roku. Již v průběhu přípravy tohoto zákona byla veřejnost s dopady nové právní úpravy postupně seznamována na stránkách Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Pokud jste tomuto tématu dosud nevěnovali patřičnou pozornost, doporučovali bychom Vám pro základní orientaci navštívit Portál NÚKIB, kde je k dispozici i praktická kalkulačka, pomocí které si můžete nezávazně ověřit, zda Vámi poskytované služby spadají mezi regulované služby podle kybernetického zákona a případně také do jakého režimu, tj. zda do režimu vyšších či nižších povinností. Kritéria pro určení regulovaných osob a kritéria pro stanovení příslušného režimu upravuje vyhláška o regulovaných službách.
Pro ohlášení regulované služby je zákonem stanovena lhůta 60 dnů. Většina organizací byla povinna ohlášení provést nejpozději do 31. 12. 2025 (60 dnů od účinnosti zákona o kybernetické bezpečnosti). Pokud mezi takové organizace patříte a dosud jste tak neučinili, dopouštíte se tím přestupku, za který Vám může být uložena pokuta až do výše 250 000 000 Kč, popřípadě až do 2% čistého celosvětového ročního obratu (podle toho, která z daných částek je vyšší). Nečekejte na uložení pokuty a ohlášení regulované služby proveďte co nejdříve.
Ohlášení regulované služby je prvotní povinností, na kterou pak navazují povinnosti další. Na základě ohlášení regulované služby NÚKIB vydává rozhodnutí o registraci. Od doručení tohoto rozhodnutí začne poskytovateli regulované služby plynout lhůta 30 dnů pro ohlášení kontaktních údajů osob, které jsou za danou organizaci oprávněny jednat a dalších údajů ohledně její vlastnické struktury, technických údajů týkajících se poskytované regulované služby, o jejím geografickém rozšíření a případném přeshraničním poskytování (tyto údaje je možné uvést již přímo v ohlášení regulované služby). Od doručení rozhodnutí o registraci musí poskytovatel regulované služby dále nejpozději do 1 roku začít plnit povinnost zavádět a provádět bezpečnostní opatření a hlásit kybernetické bezpečnostní incidenty. Podrobnosti týkající se obsahu a zavádění bezpečnostních opatření upravuje dle příslušné kategorie vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností a vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností.
Pokud si nevíte rady, zda se na Vás povinnosti vyplývající z výše uvedené regulace vztahují nebo jak máte tyto povinnosti dodržovat, rádi Vám s tím pomůžeme.
Bělina & Partners advokátní kancelář s.r.o.
