Směrnice NIS2, seriál o kybernetické bezpečnosti: regulované služby
Mgr. Michaela Holíková
Po kratší přestávce vás vítám u třetího dílu seriálu ROWAN LEGAL na téma směrnice NIS2 a kybernetická bezpečnost. V předchozích dílech jsem vám představila směrnici NIS2 a shrnula, co jsou to aktiva a jak na jejich identifikaci. V tomto díle se podíváme na povinnosti takzvaného poskytovatele regulované služby.
Základním kamenem návrhu nového zákona o kybernetické bezpečnosti je pojem regulovaná služba. Pojďme se nyní společně podívat na to, jak poznat, zda vaše podnikání do regulované služby spadá.
Zapadá vaše podnikání do regulované služby?
V první řadě musíte zhodnotit odvětví působnosti vaší společnosti. Regulovanými odvětvími jsou obecně ta, která jsou důležitá pro fungování společnosti. Jedná se obecně o oblast veřejné správy a výkonu veřejné moci, energetiku, vodní a odpadové hospodářství, oblast dopravy, digitální infrastrukturu a služby, finanční trh, zdravotnictví, vědu, výzkum a vzdělávání nebo poštovní a kurýrní služby. Mezi regulovaná odvětví však ale patří i výrobní, potravinářský, chemický, obranný a vesmírný průmysl.
V případě, že vaše firma spadá do regulovaného odvětví, musíte zhodnotit její velikost. Pouze střední a velké podniky budou považovány za regulované subjekty. Velikost podniku určujete podle počtu zaměstnanců nebo obratu. Důležité je zde slovo NEBO, protože stačí splnit pouze jednu z uvedených podmínek, abyste podnik považovali za střední nebo velký.
Pokud stále ještě nemáte jasno o tom, jestli regulace podle zákona o kybernetické bezpečnosti dopadne na vaši společnost, vřele doporučujeme, abyste navštívili internetový portál Národního úřadu pro kybernetickou bezpečnost. Na tomto portálu najdete kalkulačku, která vás tímto procesem přehledně provede.
Registrace regulované služby
Ptáte se, co máte dělat dál, pokud zjistíte, že patříte mezi regulované subjekty? Podle aktuálního znění návrhu nového zákona o kybernetické bezpečnosti máte povinnost ohlásit tuto skutečnost Národnímu úřadu pro kybernetickou a informační bezpečnost. Na základě tohoto ohlášení úřad rozhodne o registraci regulované služby poskytované vaší společností, a zřejmě také o režimu povinností, do kterého bude vaše společnost zařazena. Návrh zákona přináší dva režimy povinností – nižší a vyšší. Určení režimu povinností je přitom pro poskytovatele regulovaných služeb zásadní, neboť se od něj odvíjí rozsah bezpečnostních opatření, které bude muset vaše společnost plnit, ale na to se podíváme podrobně v příštím díle.
Po rozhodnutí o zařazení mezi regulované subjekty je stanovena třicetidenní lhůta k nahlášení kontaktních údajů osob, které jsou oprávněny jednat za vaši společnost ve věcech upravených v zákoně o kybernetické bezpečnosti, a také k doplnění dalších údajů vztahujících se k poskytování regulované služby. Mezi ně patří například vlastnická struktura, technické údaje regulované služby nebo informace o jejím přeshraničním poskytování.
Druhá povinnost, která navazuje na rozhodnutí, zda poskytujete regulovanou službu, vyžaduje, abyste stanovili rozsah řízení kybernetické bezpečnosti. Součástí tohoto řízení ve vaší společnosti totiž mají být pouze ta aktiva, která souvisí s poskytováním regulované služby. Na tomto místě navážu na minulý díl. Pokud jste totiž správně provedli identifikaci primárních aktiv, stačí posoudit to, která z nich přímo souvisí s poskytováním regulované služby. Ta totiž ve vaší společnosti tvoří regulovaný rozsah kybernetické bezpečnosti. K primárním aktivům, která zůstanou vně regulovaného rozsahu, nezapomeňte uvést stručný popis toho, proč do regulovaného rozsahu nespadají.
Na co se můžete těšit v příštím díle?
A to je dnes vše. Věřím, že určit regulovaný obsah pro vás po poslechu tohoto dílu bude hračka. V příštím díle se podíváme blíž na předepsaná bezpečnostní opatření.
Těším se na vás.
