By Luděk Kortus
Nový zákon o kybernetické bezpečnosti, který implementuje evropskou směrnici NIS2, se bude v České republice týkat odhadem 6 až 10 tisíc subjektů. Mnoho firem si přitom neuvědomuje, že se jich regulace může týkat kvůli jejich vedlejším či doplňkovým aktivitám, nikoli kvůli hlavní podnikatelské činnosti.
Klíčové informace
– Očekávaná účinnost zákona: nejdříve od 1. července 2025, pravděpodobněji od 1. ledna 2026
– ČR měla původně implementovat směrnici do října 2024, za zpoždění již obdržela vytýkací dopis od Evropské komise
– Firmy musí nejprve vytvořit dokumentaci stanovující postupy a chování v souladu s novým zákonem
– Očekávané náklady na dokumentaci: řádově stovky tisíc korun
– Náklady na technická bezpečnostní opatření: vyšší stovky tisíc až jednotky milionů korun
Příklady firem, které mohou spadat pod regulaci kvůli vedlejším činnostem
1. Logistické firmy s nabíjecími stanicemi pro elektromobily
– Regulace se týká, pokud nabíjecí stanice slouží i externím uživatelům
– Vlastní nabíjecí síť pouze pro interní flotilu regulaci nepodléhá
2. Firmy provozující interní dopravní infrastrukturu
– Regulace se týká, pokud poskytují dopravní služby jiným subjektům
– Např. železniční vlečky, terminály pro přepravu zboží
3. Bezpečnostní služby a fyzická ostraha kritických objektů
– Regulace se týká, pokud chrání kritickou infrastrukturu
– Např. ochranu datových center, energetických provozů, letišť
4. Skladování nebo distribuce farmaceutických látek a léčiv
– Regulace se týká, pokud mají klíčovou roli v dodavatelském řetězci zdravotnictví
5. Provoz telekomunikační infrastruktury
– Regulace se týká, pokud poskytují telekomunikační služby dalším subjektům
– Interní sítě pro vlastní potřebu regulaci nepodléhají
6. Poskytování cloud nebo hostingových služeb
– Regulace se týká, pokud poskytují služby dalším subjektům
– Včetně interních IT oddělení nabízejících služby dalším entitám ve skupině
7. Výrobní firmy s fotovoltaikou a dodávkami přebytků do sítě
– Regulace se týká, pokud dodávají elektřinu do sítě ve významném objemu
8. Správa rozvodných sítí pro průmyslové zóny nebo firemní kampusy
– Regulace se týká, pokud provozují vnitropodnikovou energetickou síť zásobující více subjektů
Doporučení pro firmy
Společnosti by měly pečlivě analyzovat nejen své hlavní podnikatelské činnosti, ale i vedlejší či doplňkové aktivity, aby zjistily, zda nespadají pod regulaci NIS2.
admin