Návrh nového zákona o kybernetické bezpečnosti díl 1 – Subjekty
V Poslanecké sněmovně by se měl brzy začít projednávat návrh zákona o kybernetické bezpečnosti, který implementuje do našeho právního řádu směrnici EU o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (NIS 2). Účinnost zákona se předpokládá k 1.1.2025. Jaké povinnost budou z tohoto zákona vyplývat a na koho se budou vztahovat?
Dotknou se mě povinnosti vyplývající z tohoto zákona?
Nejlepší způsob, jak odpovědět na tuto otázku, bude nahlédnout do vyhlášky Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) o regulovaných službách (i ta je nyní ve fázi návrhu), která bude ve své příloze obsahovat výčet regulovaných služeb a kritérií, které musí poskytovatel naplnit. Bude tedy třeba odpovědět si na dvě otázky:
- Poskytuji některou z vyjmenovaných služeb?
- Naplňuji kritéria, která vyhláška stanovuje?
Pokud bude odpověď na obě otázky ano, pak jste poskytovatelem regulované služby a budou na vás dopadat povinnosti v příslušném režimu.
Zvláštní subjekty
Zákon bude dále rozeznávat speciální subjekty, pro které budou platit některé zvláštní povinnosti. Bude se jednat o subjekty poskytující službu registraci domén a poskytovatele strategicky významných služeb, tedy služeb, jejichž narušení by mohlo mít závažný dopad na bezpečnost ČR nebo vnitřní pořádek. Strategicky významné služby stanoví NÚKIB vyhláškou.
Dále půjde o poskytovatele dle § 5, ti budou vždy v režimu vyšších povinností, půjde o:
- poskytovatele regulované služby, kteří splní dvě výše popsaná kritéria, a kteří
- jsou jediným poskytovatelem této služby v ČR,
- poskytují službu, jejíž narušení by mohlo mít významný dopad na bezpečnost ČR, vnitřní pořádek nebo život a zdraví,
- poskytují službu, jejíž narušení by mohlo vyvolat významná systémová rizika,
- jsou pro svůj specifický význam na regionální nebo celostátní úrovni zásadní pro konkrétní odvětví;
- poskytovatele služby, jejíž narušení může způsobit závažný zásah do života více než 125 000 osob, a to prostřednictvím ohrožení bezpečnosti České republiky, vnitřního pořádku, života a zdraví, majetkové hodnoty nebo životního prostředí;
- poskytovatele služby, jejíž narušení může způsobit závažný zásah do schopnosti poskytovat jinou regulovanou službu poskytovatele v režimu vyšších povinností;
- subjekty kritické infrastruktury.
Dva režimy povinností
Zákon bude pracovat s dvěma režimy povinností – režim vyšších povinností a režim nižších povinností. Do kterého se budete řadit, zjistíte také ve vyhlášce o regulovaných službách, kritéria jsou tam totiž vždy rozdělena na dvě části právě dle režimů. Jak z názvu tohoto institutu vyplývá, režimy se budou lišit především mírou povinností.
Příklad z vyhlášky o regulovaných službách:
V příštím díle rozebereme povinnosti, které bude zákon poskytovatelům ukládat.
Tento článek je pouze informativní a nepředstavuje právní radu ani návod pro konkrétní případ.
V případě, že budete mít v této souvislosti zájem o vícero informací, neváhejte se na nás obrátit.