Spadáte pod nový zákon o kybernetické bezpečnosti, i když o tom možná nevíte

A právě tady přichází první překážka: mnoho společností to vůbec netuší. Jenže pravda je taková, že zákon může dopadat i na ty organizace, pro které je pojem kyberbezpečnost španělská vesnice a domnívají se, že přece nedělají „nic tak důležitého“, aby to bylo potřeba chránit.

Pomáháte s IT dalším společnostem? I když je to „jenom“ v rámci „holdingu“?

Kybernetická bezpečnost tentokrát není jen o bankách, mobilních operátorech nebo velkých poskytovatelích digitálních služeb. Do režimu nového kyberzákona může spadat i výrobní společnost s fotovoltaickou elektrárnou (FVE), která má licenci nad 1 MW, holding, kde jedna z firem poskytuje IT podporu ostatním ve skupině, nebo e-shop, který zajišťuje vlastní logistiku.

Původní zákon se sice vztahoval jen na několik stovek vybraných společností. Nová právní úprava se ale podle odhadů dotkne 8 až 10 tisíc organizací v Česku. Regulovaných služeb je přitom celá řada z celkem 22 odvětví – od energetiky a dopravy až po potravinářství, chemický průmysl nebo výrobu. A vůbec to nemusí být o tom, že daná činnost je pro chod vaší společnosti důležitá. Mnohdy to může být něco, co děláte „mimoděk“. Důležité je, že tu činnost děláte a splňujete kritérium velikosti, případně další podmínky. To, jestli vám to dělá „většinu“ obratu nebo vám to vůbec nevydělává není rozhodující.

Proč začít… hned

Čas běží. Proto je důležité co nejdřív zjistit, zda splňujete kritéria, registrovat se a nahlásit regulované služby. To vše ideálně dřív, než začne nový rok. Mnoho společností o nové povinnosti vůbec nemusí tušit, a právě v tom spočívá největší riziko. Žádná organizace by neměla automaticky předpokládat, že se jí nový zákon netýká bez toho, aby si prošla vyhlášku o regulovaných službách a podívala se, kdo všechno – a především – co všechno do ní spadá.

Jak postupovat?

1. Podívejte se, jaká odvětví pod zákon spadají. Našli jste se?
2. Projděte si regulované služby v odvětví, ve kterém podnikáte.
3. Jak jste velcí? Zákon na vás dopadá, pokud jste střední nebo velký podnik (existují výjimky, například v IT). A pozor – do velikosti se mohou započítávat i další společnost v holdingu. Pokud má vaše firma 40 zaměstnanců, vaše mateřská společnost dalších 30 zaměstnanců a jste propojení (nejen majetkově), považujete se z pohledu zákona za střední podnik.
4. Splňujete další podmínky, které vyhláška vyžaduje? Například držení licence nebo jiné oprávnění.

Pro základní orientaci, jestli vaše organizace pod nový zákon spadá nebo ne, využijte online nástroj urci.se, který vás samoidentifikací provede krok za krokem.

Dvě pozor na závěr

Nenašli jste se v bodě č. 1? Podívejte se na všechny regulované služby i u ostatních odvětví! Pod zákon můžete spadat i tím, co se přímo nevztahuje k vaší hlavní činnosti (odvětví). Například taková fotovoltaika nad 1MW vás dostane mezi regulované subjekty v energetice. Poskytujete IT služby další společnosti? Gratulujeme, poskytujete regulovanou službu v odvětví digitálních služeb.

Co hrozí, pokud tuhle povinnost „opominete“? Pokuta, docela velká, ale tím nechceme strašit. Pokud si nejste jistí, jak postupovat, obraťte se na odborníky (nejlépe kombinace specialistů na kybernetickou bezpečnost a právo).

Společnost Cybrela se zaměřuje na komplexní podporu organizací při přípravě na nový zákon o kybernetické bezpečnosti, od samoidentifikace, přes implementaci opatření, co ochrání váš byznys až po outsourcing bezpečnostních rolí. Díky praktickému přístupu propojujícímu legislativu, IT, řízení rizik i samotný byznys.