„V případě porušení pravidel hrozí členům statutárních orgánů mimo jiné osobní odpovědnost za způsobenou škodu, či nemajetkovou újmu, ručení věřitelům za dluhy společnosti a vyloučení z funkce a zákaz výkonu funkce až na tři roky pod sankcí až ve výši 20 milionů korun,“ varuje Zdeněk Kučera z advokátní kanceláře Dentons.

Snahou je vtáhnout vedení firem do procesu a motivovat ho k dosažení souladu s předpisy a k tomu, aby k této regulaci přistoupilo skutečně zodpovědně a věnovalo ji odpovídající pozornost. „Jedná se o moderní a funkční přístup, který je zejména na evropské úrovni čím dál častější,“ komentuje Zdeněk Kučera.

Že tento přístup skutečně funguje, naznačuje zkušenost ze Slovenska. To je s přijetím zákona, vycházejícího z evropské směrnice NIS2, o něco napřed. „Firmy na Slovensku již musely podstoupit proces sebeidentifikace, jestli se jich nový zákon dotýká. A již vše nasvědčuje tomu, že představitelé firem jsou raději obezřetní a nechtějí nic zanedbat. Přestože původní odhady hovořily o přibližně 9 tisíc regulovaných subjektech, které se budou muset zákonu podřídit, nakonec se jich dobrovolně nahlásilo více než 15 tisíc,“ říká Zdeněk Kučera.

Čelní představitelé firem budou nově muset projít relevantním školením týkajícím se kybernetické bezpečnosti a podílet se na dohledu dodržování pravidel v rámci své organizace. Osobní odpovědnost člena statutárního orgánu přitom platí bez ohledu na jeho technickou kvalifikaci a této odpovědnosti se nelze zbavit ani ji omezit.

„Ve zkratce je top management odpovědný za to, že subjekt, kterého se zákon dotýká, implementuje a přijme veškerá opatření, která jsou nezbytná a dále dohlédne na to, že tato opatření budou dodržována. K tomu musí samozřejmě také alokovat nezbytné zdroje,“ vysvětluje Zdeněk Kučera.

Jde o to, aby nešlo jen o formální přijetí nějakých politik, ale aby firmy efektivně přijaly a udržovaly nařízené podmínky zásad kybernetické ochrany.

Jak probíhá proces samoidentifikace

Firmy, které spadají pod nový kybernetický zákon, musejí nejprve projít procesem tzv. samoidentifikace. „Tento krok je nezbytný k tomu, aby subjekt posoudil, zda vzhledem ke své velikosti, povaze činnosti a sektorovému zaměření spadá do regulace,“ připomíná Zdeněk Kučera.

Samoidentifikace je povinná a její výsledky jsou závazné pro následné plnění zákonných povinností. Regulované subjekty musí samy aktivně vyhodnotit své postavení na základě kritérií uvedených v zákoně a jeho prováděcích předpisech.

Pokud firma zjistí, že podléhá regulaci, je povinna se registrovat u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). „Po registraci musí podnik zavést komplexní systém opatření zahrnující řízení kybernetických rizik, zavedení bezpečnostní politiky, pravidelné hlášení kybernetických incidentů a provádění školení zaměstnanců i vedení v oblasti kybernetické bezpečnosti,“ vyjmenovává Zdeněk Kučera.

Nedílnou součástí povinností je také řízení bezpečnosti dodavatelských řetězců a ochrana datových toků. Zákon navíc požaduje, aby subjekty efektivně dokumentovaly své postupy a bezpečnostní opatření tak, aby v případě kontroly mohly prokázat jejich faktickou realizaci. Neplnění povinností může mít nejen za následek vysoké finanční sankce, ale v důsledku osobní odpovědnosti vedení také významné osobní a reputační dopady.