Zákon o kybernetické bezpečnosti by mohl být účinný se zpožděním proti závazné lhůtě 17. října letošního roku, kterou požaduje Evropská unie. Důvodem je postup legislativního procesu. V účinnost by mohl podle realistického odhadu vstoupit od ledna 2025. Na setkání s novináři to dnes uvedl ředitel Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Lukáš Kintr.
Nový zákon o kybernetické bezpečnosti vzniká především kvůli nutnosti převést do českého práva evropskou bezpečnostní směrnici NIS2. Zároveň nová právní úprava řeší i mechanismus prověřování bezpečnosti dodavatelského řetězce.
„Sankce EU obecně (kvůli nedodržení termínu) hrozí, nicméně nejsme jediní. Byli jsme si vědomi, že doba na transpozici není komfortní, ale stále jsme spíše na čele pelotonu. Transpozici zatím mají pouze dvě členské země, Maďarsko a Chorvatsko, které NIS2 v podstatě jen přeložily,“ uvedl Kintr.
V současnosti má návrh na stole Legislativní rada vlády. Ta by jej měla projednat 4. dubna. Následně bude potřeba několik týdnů na zapracování požadavků rady. Až bude tato část hotová, předloží jej ke schválení vládě a dále poputuje do Sněmovny.
Vzhledem ke komplexitě transpozičního zákona a krátké lhůtě 21 měsíců je podle experta na IT bezpečnost PwC Petra Šimsy toto zpoždění vcelku očekávatelné. „NÚKIB se snaží být v tomto poměrně aktivní a transparentní, první návrh nového zákona o kybernetické bezpečnosti vydal hned druhý měsíc po publikování finální verze NIS2. Na tomto návrhu podle dostupných informací začali pracovat již o rok dříve. To lze považovat spíše za dobrý nadstandard ve srovnání s dalšími evropskými zeměmi. Z pohledu firem to znamená prodloužení doby nejistoty finálního dopadu nového zákona na jejich provoz,“ řekl.
Zákon o kybernetické bezpečnosti bude mít dopad minimálně na 6000 firem proti nynějším 400 organizací, část posuzující bezpečnost dodavatelských řetězců se pak dotkne 170 subjektů v telekomunikacích, energetice, veřejné správě a řízení dopravy.
Úřadu se ohledně zákona sešlo v meziresortním připomínkovém řízení 886 připomínek od 51 připomínkových míst. Zhruba dvě třetiny úřad buď akceptoval, nebo akceptoval částečně. Neakceptoval většinou právě připomínky mířící proti mechanismu posuzování bezpečnosti dodavatelského řetězce. Podle NÚKIB proto, že navrhovaly úpravy, které by způsobily nefunkčnost mechanismu.
Mechanismus posuzování dodavatelů nebude podle Kintra plošně cílit na nějakou zemi, ale na každého dodavatele se bude dívat individuálně. Bude přitom využívat stanoviska více subjektů, například ministerstva zahraničí, vnitra či průmyslu nebo Českého telekomunikačního úřadu. Některé firmy vyslovily dopředu obavu, že zákaz některých již využívaných dodavatelů pro ně bude znamenat ekonomické ztráty, pokud budou muset jejich technologii odstranit. Podle Kintra by se lhůty pro případné odstranění zařízení měla řídit dobou jejich odpisů. Omezení počtu potenciálních dodavatelů se podle firem může projevit i v růstu cenové úrovně u těch zbývajících.
Rozšíření odpovědnosti za kybernetickou bezpečnost podle nového zákona na dodavatelské řetězce je podle Jaroslava Ploce z technologické firmy OR-CZ nutné důkladně zvážit především z hlediska menších firem. „Na tyto společnosti mohou být nahrnuty požadavky nového zákona, které budou obtížně a nákladně plnit, návazně na dodávky větším subjektům. Mohlo by to vést k tomu, že počet povinných subjektů bude výrazně vyšší, než který je uvažován nyní,“ řekl.
Za nesoulad s NIS2 hrozí pokuty až deset milionů eur, nebo dvě procenta ze světového obratu a postihy pro nejvyšší management.