Pravděpodobně jedna z největších regulací, která nás v roce 2024 čeká, je NIS 2. Nová pravidla kyberbezpečnosti přinesou mnoho změn. Tou největší je bezpochyby počet subjektů, na které nová regulace dopadne. Odhady hovoří o tom, že jich bude více než 6 000. Pokud máte pochybnosti, zda jste mezi dotčenými subjekty, nebo se jen chcete seznámit s problematikou kybernetické bezpečnosti a jejím současným stavem, jste na správném místě. Pro účely tohoto článku označujeme všechny připravované předpisy jako NIS 2 (povinnosti pro jednotlivé subjekty však budou vyplývat z připravovaného zákona o kybernetické bezpečnosti a prováděcích vyhlášek).
Otázka na úvod: „Kdy budou nová pravidla v ČR přijata?“
Původní plán stihnout implementaci do 18. 10. 2024 dodržen nebude. Nová pravidla kyberbezpečnosti by tak měla být přijata nejdříve koncem roku 2024. Je tak ještě poměrně dost času na přípravu. A také na vyjasnění některých problematických pasáží, které NIS 2 obsahuje. Pojďme se na ně společně podívat.
V první řadě je nutné říct, že NIS 2 je směrnice EU ↗, což znamená, že pravidla z této směrnice musí být nejprve převedena do zákonů a dalších právních předpisů v jednotlivých členských státech. Aniž by se toto stalo, nejsou pravidla pro společnosti závazná. A právě tímto způsobem se také NIS 2 překlopí do nového zákona o kybernetické bezpečnosti ↗ a jeho prováděcích vyhlášek. Jak je uvedeno výše, k překlopení nedojde dříve než koncem roku 2024.
A na koho tedy nový zákon dopadne? ↗ Na tzv. poskytovatele regulované služby, kteří jsou ještě dále rozděleni do několika kategorií. Abyste spadli do některé z dotčených kategorií, musíte splnit tato dvě kritéria současně:
Často se setkáváme s nesprávně pochopenou interpretací typu: „Máme více než 50 zaměstnanců a spadáme mezi tzv. střední podniky, musíme tedy NIS 2 řešit.“ Není to však zcela automaticky pravda. Abyste pod novou regulaci spadli, musíte zároveň poskytovat některou z regulovaných služeb (viz kritérium služby výše). I když máte třeba 3 000 zaměstnanců, ale vaše společnost se zabývá šitím spodního prádla, pod NIS 2 nespadnete, protože jste nesplnili kritérium služby.
Abyste si byli opravdu jistí, jestli do regulovaných služeb patříte, jednoduše vyzkoušejte náš interaktivní formulář, který předběžně posoudí, zda si máte s novými povinnostmi lámat hlavu, či nikoliv.
Chci zjistit, zda na mě NIS 2 dopadá ↗
Vyhláška o regulovaných službách, tedy ta její část, která se věnuje určení služeb, jež budou pod NIS 2 spadat, obsahuje několik oblastí, které jsme vyjmenovali výše.
Pro odborníky pohybující se v IT segmentu je jistě nejzajímavější bod 16 přílohy této vyhlášky. Ten totiž definuje všechny služby digitální infrastruktury. Dozvíte se, že pod NIS 2 budou spadat mimo jiné poskytovatelé internetu, DNS překladů, poskytovatelé služby výměnného uzlu, provoz registru domén a další. A najdete zde také službu cloud computingu.
A právě v této oblasti vnímáme velký problém. Pojem cloud computing není nikde jasně vymezen. Například „oblíbený portál“ Wikipedia jej charakterizuje jako poskytování služeb či programů servery dostupnými z internetu s tím, že uživatelé k nim mohou přistupovat vzdáleně, např. pomocí webového prohlížeče nebo elektronické pošty.
A obdobně neurčitě o cloud computingu mluví také samotná NIS 2: „Modely služeb cloud computingu zahrnují mimo jiné infrastrukturu jako službu (IaaS), platformu jako službu (PaaS), software jako službu (SaaS) a síť jako službu (NaaA).“
A v tom je ten zásadní problém. Definice je prostě nejasná, neurčitá a nekonzistentní.
Tím pádem můžeme pod službu cloud computingu zařadit i například každý SaaS nástroj. Vzpomínáte, když jsme na začátku článku zmiňovali, že se NIS 2 dotkne 6 000+ subjektů? Tak si představte, že do této kategorie spadne každý střední podnik, který poskytuje službu na bázi cloud computingu. V tu chvíli by byl počet povinných subjektů mnohonásobně vyšší.
Pojďte se podívat na naše služby v kybernetické bezpečnosti. ↗
Pokud se ptáte, co s tím, musíme vás požádat o trpělivost. Počkáme si na konkrétní výklad ze strany EU. Není tedy ani na místě zlobit se na český Národní úřad pro kybernetickou a informační bezpečnost, který na přípravě návrhu předpisů odvedl skvělou práci. Pojem cloud computing byl pouze převzat z NIS 2, takže lokální regulační úřad s ním prakticky nic udělat nemůže. Sami jsme zvědaví na upřesňující definici.
Společnosti ale nemusí panikařit. Domníváme se, že rozsah by měl směřovat zejména na ty subjekty, které mají například vlastní serverovou infrastrukturu.
Ať už to dopadne jakkoliv, času je stále dost, a jelikož střední podniky spadnou do režimu nižších povinností, nastavení toho nejdůležitějšího nebude natolik složité.
Tápete v problematice NIS 2 a chcete si všechny otázky ujasnit dříve, než to celé vypukne? Rádi vás celou problematikou lidsky a srozumitelně provedeme. Pokud už nyní víte, že se vás NIS 2 dotkne, ověřte si v našem druhém článku, které kroky můžete podniknout už nyní. ↗
Jsem advokát specializující se na ochranu osobních údajů, e-commerce, compliance a související oblasti. Za dobu působení v kanceláři jsem provedl desítky firem audity, nastavením procesů souvisejících s technologiemi a právem.