Kybernetická bezpečnost, část druhá – Povinnosti

Povinnosti spojené s návrhem nového zákona o kybernetické bezpečnosti

V předchozím díle této série jsme rozebrali, kterých subjektů se budou povinnosti vyplývající z nového zákona o kybernetické bezpečnosti týkat. O jaké povinnosti tedy půjde?

Registrace regulované služby

Pokud jste zjistili, že budete subjektem dle připravovaného nového zákona o kybernetického bezpečnosti, první povinnost, kterou je třeba splnit, je registrace. Registrovat regulovanou službu je nutné do 60 dnů od splnění podmínek pro registraci (pokud jsou splněny již před účinností zákona, bude to 60 dnů od nabytí účinnosti). Registrace se bude provádět prostřednictvím Portálu NÚKIB. Úřad poskytovateli následně doručí rozhodnutí o registraci – tento okamžik je významný z hlediska počítání lhůt k plnění dalších povinností.

Povinnosti poskytovatele regulované služby

Do 30 dnů od doručení rozhodnutí o registraci je nutné NÚKIBu nahlásit kontaktní údaje (IČ, fyzické osoby oprávněné jednat za poskytovatele ve věcech kybernetické bezpečnosti) a doplňující údaje (informace o vlastnické struktuře poskytovatele, technické údaje týkající se regulované služby a informace o jejím geografickém rozšíření a přeshraničním poskytování).

Další povinností bude stanovit rozsah řízení kybernetické bezpečnosti, tedy stanovit aktiva související s poskytováním regulované služby. Zde není stanovena žádná lhůta, je ale vhodné to učinit co nejdříve – pokud totiž není stanoven rozsah, platí, že jsou v něm všechna aktiva podniku.

Bezpečnostní opatření

Do 1 roku od doručení rozhodnutí o registraci musí být zavedena bezpečnostní opatření, ta se budou lišit dle režimu povinností. Zákon bude vyjmenovávat pouze oblasti bezpečnostních opatření (např. řízení aktiv, řízení rizik, bezpečnost lidských zdrojů). Konkrétní povinnosti pak stanoví NÚKIB vyhláškami pro příslušné režimy, ty bude možné využít jako jakýsi check-list. Budou zde například povinnosti provádět různá školení, stanovit určité podmínky pro bezpečná hesla a další.

Hlášení a zvládání kybernetických bezpečnostních incidentů

Ve stejné lhůtě, tedy nejpozději do 1 roku od doručení rozhodnutí o registraci, bude poskytovatel povinen hlásit a zvládat kybernetické bezpečnostní incidenty. Těmto povinnostem se budeme věnovat v dalším díle této série.

Sankce

Za nedodržení povinností hrozí poskytovateli v režimu vyšších povinností pokuty až do výše 250 mil. Kč, poskytovateli v režimu nižších povinností pak do výše 175 mil. Kč.

V případě, že budete mít v této souvislosti zájem o více informací, neváhejte se na nás obrátit.

Tento článek je pouze informativní a nepředstavuje právní radu ani návod pro konkrétní případ.

Chcete pomoci s tímto tématem?

Ozvěte se nám a rádi Vám pomůžeme, případně využijte kontaktní formulář níže