Kybernetická bezpečnost, část první – Subjekty

Návrh nového zákona o kybernetické bezpečnosti díl 1 – Subjekty

V Poslanecké sněmovně by se měl brzy začít projednávat návrh zákona o kybernetické bezpečnosti, který implementuje do našeho právního řádu směrnici EU o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (NIS 2). Účinnost zákona se předpokládá k 1.1.2025. Jaké povinnost budou z tohoto zákona vyplývat a na koho se budou vztahovat?

Dotknou se mě povinnosti vyplývající z tohoto zákona?

Nejlepší způsob, jak odpovědět na tuto otázku, bude nahlédnout do vyhlášky Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) o regulovaných službách (i ta je nyní ve fázi návrhu), která bude ve své příloze obsahovat výčet regulovaných služeb a kritérií, které musí poskytovatel naplnit. Bude tedy třeba odpovědět si na dvě otázky:

  1. Poskytuji některou z vyjmenovaných služeb?
  2. Naplňuji kritéria, která vyhláška stanovuje?

Pokud bude odpověď na obě otázky ano, pak jste poskytovatelem regulované služby a budou na vás dopadat povinnosti v příslušném režimu.

Zvláštní subjekty

Zákon bude dále rozeznávat speciální subjekty, pro které budou platit některé zvláštní povinnosti. Bude se jednat o subjekty poskytující službu registraci domén a poskytovatele strategicky významných služeb, tedy služeb, jejichž narušení by mohlo mít závažný dopad na bezpečnost ČR nebo vnitřní pořádek. Strategicky významné služby stanoví NÚKIB vyhláškou.

Dále půjde o poskytovatele dle § 5, ti budou vždy v režimu vyšších povinností, půjde o:

  • poskytovatele regulované služby, kteří splní dvě výše popsaná kritéria, a kteří
    • jsou jediným poskytovatelem této služby v ČR,
    • poskytují službu, jejíž narušení by mohlo mít významný dopad na bezpečnost ČR, vnitřní pořádek nebo život a zdraví,
    • poskytují službu, jejíž narušení by mohlo vyvolat významná systémová rizika,
    • jsou pro svůj specifický význam na regionální nebo celostátní úrovni zásadní pro konkrétní odvětví;
  • poskytovatele služby, jejíž narušení může způsobit závažný zásah do života více než 125 000 osob, a to prostřednictvím ohrožení bezpečnosti České republiky, vnitřního pořádku, života a zdraví, majetkové hodnoty nebo životního prostředí;
  • poskytovatele služby, jejíž narušení může způsobit závažný zásah do schopnosti poskytovat jinou regulovanou službu poskytovatele v režimu vyšších povinností;
  • subjekty kritické infrastruktury.

Dva režimy povinností

Zákon bude pracovat s dvěma režimy povinností – režim vyšších povinností a režim nižších povinností. Do kterého se budete řadit, zjistíte také ve vyhlášce o regulovaných službách, kritéria jsou tam totiž vždy rozdělena na dvě části právě dle režimů. Jak z názvu tohoto institutu vyplývá, režimy se budou lišit především mírou povinností.

Příklad z vyhlášky o regulovaných službách:

V příštím díle rozebereme povinnosti, které bude zákon poskytovatelům ukládat.

 

Tento článek je pouze informativní a nepředstavuje právní radu ani návod pro konkrétní případ.

V případě, že budete mít v této souvislosti zájem o vícero informací, neváhejte se na nás obrátit.

Chcete pomoci s tímto tématem?

Ozvěte se nám a rádi Vám pomůžeme, případně využijte kontaktní formulář níže