Vláda schválila zákon o kybernetické bezpečnosti

Vláda schválila návrh zákona o kybernetické bezpečnosti, který nyní projedná Parlament. Zákon implementuje evropskou směrnici NIS2 o kybernetické bezpečnosti. Požadavky plynoucí ze směrnice se týkají firem s 50 nebo více zaměstnanci, ročním obratem alespoň 10 milionů eur nebo výší aktiv alespoň 10 milionů eur. Cílem zákona i směrnice je přimět ekonomicky významné podniky, aby posílily kybernetickou bezpečnost. Návrh se má dotknout nejméně 6 000 českých firem – jejich počet by měl postupně růst.

Mezi navrhované povinnosti patří mj. povinnost provádět vlastní posouzení bezpečnostních rizik, technická a organizační opatření vedoucí ke zvýšení kybernetické odolnosti, povinnost ukládání kybernetických dat a událostí po dobu nejméně 18 měsíců a také oznamování bezpečnostních incidentů Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) prostřednictvím Portálu NÚKIB. Porušení nových povinností má být spojeno s odpovědností pověřených osob a se sankcemi. Konkrétně může jít až o 10 milionů eur nebo 2 % z globálního obratu firmy, případně může dojít k pozastavení certifikace či zákazu výkonu činnosti jakékoliv vedoucí osobě. Sankce přitom jsou navrženy jako opakovatelné, až dokud firma nezjedná nápravu. K implementaci směrnice mělo dojít do letošního října, účinnost zákona však pravděpodobně nastane později. Zároveň ovšem přípravy na splnění požadavků předpisu dle odborníků zaberou menším firmám 1-3 měsíce, ale těm největším i déle než rok.