Nová pravidla kybernetické bezpečnosti: Jaké jsou nejčastější chyby při samoidentifikaci?

Autor článku: Mgr. Petr Hanzel, LL.M., ARROWS advokátní kancelář (office@arws.cz, +420 245 007 740)

Nevíte, zda se na vaši společnost vztahuje nový zákon o kybernetické bezpečnosti? Stále si myslíte, že se vaší společnosti kyberbezpečnost netýká? Investujete do zabezpečení své kanceláře, ale proč ne do ochrany své IT infrastruktury? V případě kybernetického útoku můžete přijít o citlivá data, obchodní tajemství, nebo dokonce zažít zastavení klíčových provozů – od e-shopu až po výrobní linku. Pokud například váš e-shop během vánoční sezóny čelí kyberútoku, ztráty mohou dosáhnout milionů korun za den. Správně provedená samoidentifikace je nejen zásadní pro ochranu před vysokými pokutami, ale také základní povinností podle nové právní úpravy. Proveďte ji ještě před účinností zákona, abyste měli dostatek času na zajištění odborníků, financí a dalších zdrojů.

1. Povinnosti samoidentifikace – neznalost neomlouvá

Nový zákon o kybernetické bezpečnosti, který bude pravděpodobně platný od poloviny roku 2025, zásadně rozšiřuje počet firem, které mají povinnost splnit konkrétní bezpečnostní požadavky. Povinnost samoidentifikace se týká desítek tisíc firem v Česku. Její neprovedení může vést k pokutám až 250 000 000 Kč nebo 2 % z celosvětového ročního obratu.

Podnikatelé si často neuvědomují, že kyberregulace už dávno neplatí jen pro velké hráče v kritické infrastruktuře. Nový zákon se zaměřuje na mnohem širší spektrum podniků, od poskytovatelů digitálních služeb až po výrobní podniky, a tím spíše společnosti, které jsou součástí strategických dodavatelských řetězců.

Provedení samoidentifikace a registrace regulované služby je základní povinností podle nové právní úpravy. Úřad za Vámi nepřijde, nepošle Vám datovou zprávu: „Dobrý den, na Vás nová pravidla dopadají, musíte udělat přesně toto (…).“ Komplexní identifikaci dopadů zcela nové právní úpravy musí společnosti provést sami a musí ji provést správně.

2. Posouzení regulovaných služeb: Nezapomeňte na doplňkové činnosti

Jedním z nejčastějších omylů při samoidentifikaci je nesprávné posouzení, zda vaše společnost poskytuje regulované služby. Nový zákon o kybernetické bezpečnosti zahrnuje celou škálu činností v oblastech, které mají strategický význam nebo jsou kritické pro fungování společnosti.

Společnosti při procesu samoidentifikace často posuzují pouze svou primární činnost a přehlíží vedlejší nebo podpůrné aktivity, které se mohou lišit od primární činnosti, ale přesto podléhají regulaci. Vždy je nezbytné posoudit každou jednotlivou aktivně vykonávanou činnost, jestli je regulovanou službou ve smyslu nové právní úpravy či nikoliv.

3. Správné posouzení velikosti podniku: Myslete na celou strukturu

Velikost společnosti je dalším kritériem, které rozhoduje o tom, zda se na vás nový zákon vztahuje. Mnoho firem chybně interpretuje pravidla, například podceňuje počet svých zaměstnanců nebo špatně vyhodnocuje finanční ukazatele.

Zákon bere v úvahu i propojené podniky – pokud jste součástí větší skupiny, může se vás regulace týkat, i když byste na první pohled nesplňovali požadavky na počet zaměstnanců či obrat. Například malá dceřinka velké korporace může být regulována na základě svého propojení.

Správné vyhodnocení velikosti podniku je klíčovým krokem, který vám umožní jasně určit, jaké povinnosti na vás dopadají.

4. Klíčové kroky k zajištění souladu s regulací

Pokud chcete mít jistotu, že splníte všechny požadavky nového zákona o kybernetické bezpečnosti, zaměřte se na následující kroky:

1. Ověření odvětví: Zjistěte, zda spadáte do regulovaných sektorů, jako je výroba, energetika nebo digitální infrastruktura.
2. Analýza velikosti společnosti: Vyhodnoťte všechny parametry velikosti podniku, včetně propojení s mateřskými společnostmi.
3. Režim opatření: Po provedení samoidentifikace zjistěte, zda na vás právní úprava nedopadá nebo budete muset plnit povinnost nižšího či vyššího režimu.
4. Rozdílová analýza: Zjistěte, jaký je rozdíl mezi stávajícími opatřeními a opatřeními, která budete povinni zavést.
5. Zajištění zdrojů: Předem si zajistěte finance, odborníky a čas na implementaci. Po účinnosti zákona budou tyto zdroje pravděpodobně nedostatkové. Spolupracujte s odborníky, kteří vám pomohou identifikovat mezery a vyřešit je včas.
6. Sledujte vývoj: Pravidelně sledujte legislativní změny a validujte své předběžné závěry.

Nový zákon o kybernetické bezpečnosti přináší zásadní změny, které vyžadují pečlivou přípravu. provedením samoidentifikace před účinností legislativy získáte konkurenční výhodu na trhu, zajistíte si dostatek zdrojů a minimalizujete rizika.

Pokud potřebujete s předběžnou samoidentifikací pomoci nebo chcete ověřit správnost svých závěrů, neváhejte se na nás obrátit.