„V případě porušení pravidel hrozí členům statutárních orgánů mimo jiné osobní odpovědnost za způsobenou škodu či nemajetkovou újmu, ručení věřitelům za dluhy společnosti, ale i vyloučení z funkce a zákaz jejího výkonu nejméně po dobu 6 měsíců,“ upozorňuje Zdeněk Kučera z advokátní kanceláře Dentons s tím, že sankce mohou dosahovat až 20 milionů korun. Firmám oproti tomu hrozí až 250 milionů korun, nebo 2 % z ročního obratu.

 

Nový zákon rozlišuje mezi režimem vyšších povinností,režimem nižších povinností a speciálním režimem pro poskytovatele digitálních služeb v závislosti na tom, jak důležitou službu s ohledem na kybernetickou bezpečnost daný subjekt poskytuje. Povinnosti se tak dotknou široké škály odvětví — od energetiky a zdravotnictví přes dopravu, finance, digitální poskytovatele či veřejnou správu až po výzkumné instituce a průmyslové podniky.

 

Firmy nejprve musí projít procesem tzv. samoidentifikace, při kterém posoudí, zda vzhledem ke své velikosti, povaze činnosti a sektorovému zaměření spadají do regulace.

„Pokud podnik zjistí, že se ho regulace týká, musí se registrovat u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Následně je povinen implementovat bezpečnostní opatření, která například zahrnují řízení aktiv a rizik, stanovení bezpečnostních rolí, zavedení bezpečnostní politiky, školení zaměstnanců i vedení a pravidelné hlášení incidentů a také důslednou správu bezpečnosti dodavatelských řetězců,“ říká Jiří Švejda z Dentons.

 

Nová regulace klade důraz na aktivní roli vedení firem. Členové statutárních orgánů musí projít školením, které je seznámí s principy kybernetické bezpečnosti, a zajistit, že jejich společnosti přijmou veškerá nezbytná opatření a budou je dlouhodobě udržovat. „Ve zkratce je top management odpovědný za to, že subjekt, kterého se zákon dotýká, implementuje a dodržuje všechna opatření nezbytná k zajištění souladu. K tomu musí také alokovat potřebné zdroje,“ doplňuje Jiří Kvaček.

 

Odpovědnost vedení platí bez ohledu na jeho technickou kvalifikaci a nelze se jí zprostit ani ji smluvně omezit. Zákon tak podle Dentons reflektuje moderní evropský přístup, který má vést k reálnému zvýšení odolnosti podniků vůči kybernetickým hrozbám.

Zákon navíc požaduje, aby subjekty efektivně dokumentovaly své postupy a bezpečnostní opatření tak, aby v případě kontroly mohly prokázat jejich faktickou realizaci.

 

 

Kyberbezpečnostní zákon vychází z evropské směrnice NIS2, kterou do svého práva transponují členské země EU. A příklad ze Slovenska ukazuje, že minimálně první krok daný zákonem se osvědčil. „Tamní firmy již procesem sebeidentifikace prošly a dobrovolně se registrovalo více než 15 tisíc subjektů, přestože původní odhady hovořily o zhruba 9 tisících,“ prohlašuje Zdeněk Kučera z Dentons. Podobný nárůst lze očekávat i v České republice, kde je doposud odhadován dopad až na 10 tisíc podniků. Konkrétní čísla by měl časem zveřejnit Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který je předkladatelem zákona.