Za selhání v kyberbezpečnosti ponese osobní zodpovědnost management. Už od listopadu

Členové statutárních orgánů budou osobně odpovědní za to, že jejich společnosti zákonu vyhoví.

„V případě porušení pravidel hrozí členům statutárních orgánů mimo jiné osobní odpovědnost za způsobenou škodu či nemajetkovou újmu, ručení věřitelům za dluhy společnosti, ale i vyloučení z funkce a zákaz jejího výkonu nejméně po dobu 6 měsíců,“ upozorňuje Zdeněk Kučera z advokátní kanceláře Dentons s tím, že sankce mohou dosahovat až 20 milionů korun. Firmám oproti tomu hrozí až 250 milionů korun, nebo 2 % z ročního obratu.

Nový zákon rozlišuje mezi režimem vyšších povinností, režimem nižších povinností a speciálním režimem pro poskytovatele digitálních služeb v závislosti na tom, jak důležitou službu s ohledem na kybernetickou bezpečnost daný subjekt poskytuje. Povinnosti se tak dotknou široké škály odvětví — od energetiky a zdravotnictví přes dopravu, finance, digitální poskytovatele či veřejnou správu až po výzkumné instituce a průmyslové podniky.

Firmy nejprve musí projít procesem tzv. samoidentifikace, při kterém posoudí, zda vzhledem ke své velikosti, povaze činnosti a sektorovému zaměření spadají do regulace.

„Pokud podnik zjistí, že se ho regulace týká, musí se registrovat u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Následně je povinen implementovat bezpečnostní opatření, která například zahrnují řízení aktiv a rizik, stanovení bezpečnostních rolí, zavedení bezpečnostní politiky, školení zaměstnanců i vedení a pravidelné hlášení incidentů a také důslednou správu bezpečnosti dodavatelských řetězců,“ říká Jiří Švejda z Dentons.

Osobní odpovědnost bude mít top management bez výjimek

Nová regulace klade důraz na aktivní roli vedení firem. Členové statutárních orgánů musí projít školením, které je seznámí s principy kybernetické bezpečnosti, a zajistit, že jejich společnosti přijmou veškerá nezbytná opatření a budou je dlouhodobě udržovat. „Ve zkratce je top management odpovědný za to, že subjekt, kterého se zákon dotýká, implementuje a dodržuje všechna opatření nezbytná k zajištění souladu. K tomu musí také alokovat potřebné zdroje,“ doplňuje Jiří Kvaček.

Odpovědnost vedení platí bez ohledu na jeho technickou kvalifikaci a nelze se jí zprostit ani ji smluvně omezit. Zákon tak podle Dentons reflektuje moderní evropský přístup, který má vést k reálnému zvýšení odolnosti podniků vůči kybernetickým hrozbám.

Kyberzákon příchází napříč EU, ovšem Česko má zpoždění

Zákon navíc požaduje, aby subjekty efektivně dokumentovaly své postupy a bezpečnostní opatření tak, aby v případě kontroly mohly prokázat jejich faktickou realizaci. Neplnění povinností může mít nejen za následek vysoké finanční sankce, ale také významné osobní a reputační dopady.

Kyberbezpečnostní zákon vychází z evropské směrnice NIS2, kterou do svého práva transponují členské země EU. A příklad ze Slovenska ukazuje, že minimálně první krok daný zákonem se osvědčil. „Tamní firmy již procesem sebeidentifikace prošly a dobrovolně se registrovalo více než 15 tisíc subjektů, přestože původní odhady hovořily o zhruba 9 tisících,“ prohlašuje Zdeněk Kučera z Dentons. Podobný nárůst lze očekávat i v České republice, kde je doposud odhadován dopad až na 10 tisíc podniků. Konkrétní čísla by měl časem zveřejnit Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který je předkladatelem zákona.

Kyberzákon nabude účinnosti výjimečně 1. listopadu, přestože obvykle zákony započínají platnost buď od ledna, nebo od července. Důvodem je, že Česko nestihlo lhůtu pro transpozici evropské směrnice NIS2 loni v říjnu, a tak se nyní zákon přijímá, jak nejrychleji to bylo možné.