V roce 2024 dochází k několika významným změnám a inovacím v oblasti kybernetické bezpečnosti, které reagují na rostoucí hrozby a potřeby digitálního světa. Tyto novinky jsou klíčové jak pro firmy, tak pro jednotlivce, kteří se snaží chránit svá data a soukromí. Dotkne se nový zákon o kybernetické bezpečnosti i Vás? Základní poznatky dle chystané právní úpravy jsme si pro Vás připravili v tomto článku naší advokátní kanceláře.
Proč nový zákon o kybernetické bezpečnosti?
V červenci roku 2024 došlo ke schválení nove podoby zákona o kybernetické bezpečnosti. Nový zákona o kybernetické bezpečnosti začne dle předpokladu a očekávání (podle nejnovějších informací) „platit“ od 1.1. 2025 (v části pak od 1.1.2026). Do té doby jsou povinné subjekty nuceny zajistit soulad přijatých organizačních a technických opatření na úrovni svého podniku. Naprosto zásadní změnou je rozšíření povinných subjektů (dnes se týká přibližně 300 firem, nově se předpokládá dopad na více než 10 000 subjektů). Návrh nového kybernetického zákona zapracovává znění směrnice NIS2 a některé prvky provozní odolnosti podniků stanovení v rámci evropského nařízení DORA.
Co je nový zákon o kybernetické bezpečnosti?
Nový právní předpis zjednodušeně zavádí pravidla pro práci s daty a zabezpečení informací ve významných oblastech kritické infrastruktury. Vymezuje oblasti, které jsou z hlediska běžně fungujícího občana významné a jejich infrastruktura i digitální prostředí musí být adekvátně chráněno před kybernetickými bezpečnostními hrozbami. Množství a přísnost pravidel kybernetické bezpečnosti se odvíjí od pozice, kterou v rámci kybernetické bezpečnosti zastáváte. Historicky zákon o kybernetické bezpečnosti nastavil jednotná pravidla ochrany pro nejpřísněji regulované oblasti, které se týkají tzv. Kritické bezpečnostní infrastruktury.
Nový kybernetický zákon ve spojení s doprovodnými právními předpisy (zejména vyhláškou) rozšiřuje původní okruh subjektů a zpřesňuje pravidla pro výkon činnosti v jím regulovaných činnostech. Základní povinnosti je vytvořit organizační a technická opatření, která jsou odpovídající k ochraně dat, komunikací, informačních systémů a sítě.
Koho se nový zákon o kybernetické bezpečnosti týká?
Zatímco původní režim kybernetické bezpečnosti dříve spočíval pouze ve stanovení povinností subjektům páteřní infrastruktury ve vybraných odvětvích (typicky zdravotnictví, elektronické komunikace a dodávky základních služeb jako voda, elektřina, plyn), nově se bude týkat i subjektům, kteří v rámci kritické infrastruktury dodávají produkty a nebo služby v zákonem předepsaném významu. Povinnosti se budou nově týkat subjektů středních a velkých podniků, kteří působí v rámci zákone stanovených regulovaných odvětví:
- Energetika,
- Doprava
- Bankovnictví
- Finanční trhy
- Zdravotnictví
- Vodní hospodářství
- Digitální infrastruktura
- Chemický průmysl
Nový zákon o kybernetické bezpečnosti a ochrana dat?
Zjednodušeně nový zákon o kybernetické bezpečnosti zavádí standardy pro ochranu před kybernetickými bezpečnostními riziky. Základem je zavedení organizačních a technických opatření k zamezení kybernetických bezpečnostních incidentů (narušení podnikové sítě).
Technická opatření kybernetické bezpečnosti
Pojmově se jedná o samotnou obranu před napadením v kyberprostoru. Nejčastěji se jedná o tyto oblasti ochrany:
Digitální část. Součastí je navržený systém ochrany v podobě programového řešení (software), která zamezuje programové narušení skrze datový management, antivirové programy, firewall, zapojení chráněných a licencovaných programů.
Hardware část. Obsahuje technické komponenty a reálné umístění hardware. Programová ochrana není dostačující, pokud se opírá o zastaralé/pomalé technické řešení, na které se nedá spolehnout. Rovněž zahrnuje řešení simultánně prováděné zálohování dat a jiné formy technického zabezpečení sítě.
Ochrana před neutvrzovaným vstupem. Součástí technického řešení je zamezení a hlídání vstupu do kritické infrastruktury podniku. Cílem je zamezit přístup do provozoven a serverových místností potenciálnímu narušiteli.
Organizační opatření kybernetické bezpečnosti
Zaměřuje se na jednotlivé personální složky podniku. Jedním z nejčastějších způsobů narušení sítě podniku je skrze vlastní zaměstnance.
Nastavení postupů. Cílem je vytvořit hierarchii a kontroly, včetně rozlišení přístupových práv jednotlivých zaměstnanců v rámci jejich podnikového zařazení. Rovněž jde o zavedení funkčních postupů pro případ vzniku bezpečnostních incidentů.
Odborná výbava. Zajištění personálu, který zajistí odpovídající úroveň ochrany a zajistí pohotovou reakci pro případ kybernetického útoku. Proškolení kmenových zaměstnanců, aby dokázali odhalit potenciální nebezpečí pro kybernetickou bezpečnost podniku.
Spolupráce s Úřadem. Identifikace a hlášení povinných osob na poli kybernetické bezpečnosti. Hlášení bezpečnostních incidentů a případné oznámení Úřadu.
Proč Vás má nový zákon o kybernetické bezpečnosti zajímat?
Kromě toho, že ve své podstatě stanoví ucelenou „best practice“ pro ochranu dat na úrovni podniku, jde o regulaci, která závazně stanoví práva a povinnosti na úseku kybernetické bezpečnosti. Jako každý jiný regulační právní předpis podléhá kontrole ze strany regulátora Národního úřadu pro kybernetickou a informační bezpečnost. Lze tedy předpokládat, že nedodržení stanovených právních povinností bude ze strany Úřadu vymáháno a pokutováno.
Vyznejte se v oblasti kybernetické bezpečnosti
Pomáháme klientům vyhodnotit, zda se na ně nový zákon o kybernetické bezpečnosti vztahuje a jaké mají případné právní povinnosti spojené. Provádíme audity, doporučení v přijetí technických opatření ochrany informací a dat, rovněž pomáháme nastavit organizační opatření a proškolit zaměstnance v oblasti kybernetických bezpečnostních rizik.
Máte-li dotaz, neváhejte se obrátit na naši advokátní kancelář. Pomůžeme Vás připravit na nový zákon o kybernetické bezpečnosti. Naše advokátní kancelář působí v oblasti softwarového práva a pro své klienty poskytuje právní služby v oblasti smluv k software i kybernetického zabezpečení. Pokud potřebujete poradit, neváhejte nás kontaktovat. (Facebook, Instagram, LinkedIn).