V Evropské unii byla přijata dlouho připravovaná Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. 12. 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (dále jen „Směrnice NIS2“), která přináší mnoho změn v oblasti zajišťování kybernetické bezpečnosti v členských státech.
Obecně o účelu Směrnice NIS2, o povinných subjektech, bezpečnostních opatřeních, incidentech a kontrole jsme Vás již informovali v článku Připravovaná směrnice o kybernetické bezpečnosti a nejvýznamnější změny v právní úpravě.
V České republice v současné době probíhá příprava nového zákona o kybernetické bezpečnosti a souvisejících vyhlášek. Návrh zákona o kybernetické bezpečnosti vychází ze znění dosavadního zákona č. 181/2014 Sb., o kybernetické bezpečnosti a jeho cílem je implementovat změny dle Směrnice NIS2 do českého právního řádu, a to nejpozději do 17. 10. 2024. Národní úřad pro kybernetickou bezpečnost (dále jen „NÚKIB“) vydal dne 25. 1. 2023 návrh nového zákona o kybernetické bezpečnosti a zároveň i návrhy souvisejících vyhlášek, které předložil veřejnosti k připomínkování a k diskuzi. Standardní legislativní proces by měl být zahájen v průběhu roku 2023.
V tomto článku se zaměříme na připravovaný návrh nového zákona o kybernetické bezpečnosti, zejména s ohledem na potravinářství.
Poskytovatelé regulované služby
Povinnými osobami se dle návrhu zákona rozumí poskytovatelé regulované služby, kteří naplňují kritéria stanovená navrhovanou vyhláškou o regulovaných službách. Proces určení poskytovatelů regulované služby bude obvykle probíhat formou samoidentifikace a případně následné registrace na NÚKIB, který poskytovatele zapíše do evidence.
Poskytovatelé regulované služby jsou ti, kteří poskytují alespoň jednu regulovanou službu. Návrh zákona stanovuje:
- kritéria pro identifikaci regulované služby (nacházející se v příloze návrhu vyhlášky o regulovaných službách) – tato kritéria slouží k samoidentifikaci organizace; a
- kritéria pro určení regulované služby (nacházející se v ustanoveních vyhlášky o regulovaných službách) – na základě těchto kritérií NÚKIB ve správním řízení s organizací zhodnotí, zda došlo k jejich naplnění.
Stejně jako Směrnice NIS2, která rozděluje povinné subjekty na základní a důležité i návrh zákona o kybernetické bezpečnosti pracuje s dvěma režimy. Je stanoven režim vyšších povinností a režim nižších povinností. Platí však, že jedna organizace bude mít za každých okolností vždy pouze jeden režim poskytovatele regulované služby – pokud tedy naplní kritéria více regulovaných služeb v různých režimech, uplatní se vždy pouze režim vyšších povinností.
Potravinářský průmysl a regulované služby
Dle Směrnice NIS2 a současně také dle návrhu vyhlášky o regulovaných službách spadá mezi regulované oblasti potravinářský průmysl.
V potravinářském průmyslu jsou zahrnuty regulované služby související s (i) výrobou potravin, (ii) zpracováním potravin a (iii) distribucí potravin. Poskytovatelé těchto služeb budou povinnými subjekty, pokud jsou potravinářským podnikem podle přímo použitelného předpisu Evropské unie a splňují podmínku velkého nebo středního podniku (tedy mají více než 50 zaměstnanců a obrat nebo celkovou bilanci do 10 mil. EUR).
Pojem potravinářský podnik definuje Nařízení Evropského parlamentu a Rady (ES) č. 178/2002 ze dne 28. 1. 2002, kterým se stanoví obecné zásady a požadavky potravinového práva, zřizuje se Evropský úřad pro bezpečnost potravin a stanoví postupy týkající se bezpečnosti potravin v článku 3 bod 2 jako veřejný nebo soukromý podnik, ziskový nebo neziskový, který vykonává činnost související s jakoukoli fází výroby, zpracování a distribuce potravin.
Potravinářské podniky, kteří jakožto poskytovatelé regulované služby budou spadat do výše uvedené definice, budou mít povinnost informovat NÚKIB, že naplňují stanovená kritéria a provést registraci. První lhůta pro provedení registrace je v délce 90 dní od naplnění daných kritérií (případně od účinnosti zákona), druhou lhůtou je 30 dní od zjištění organizace, že kritéria naplňuje.
Povinnosti poskytovatelů regulované služby
Potravinářské podniky, stejně jako další poskytovatelé regulovaných služeb budou mít dle návrhu zákona o kybernetické bezpečnosti zejména následující povinnosti:
- registrovat se na NÚKIB a nahlásit kontaktní a další údaje;
- stanovit rozsah řízení kybernetické bezpečnosti, pokud organizace tento krok neprovede považuje se za rozsah řízení celá organizace;
- zavádět bezpečnostní opatření, dle sady pravidel stanovené návrhem zákona o kybernetické bezpečnosti podle toho, zda organizace spadá do režimu nižších či vyšších povinností; obecně mezi principy bezpečnostních opatření spadá (i) vedení organizace ke zmapování prostředí, (ii) k identifikaci toho, co je nutné k zajištění chodu prováděné regulované služby, (iii) vyhodnocení rizik a (iv) zavedení přiměřených opatření, kterými dojde ke snížení rizik;
- hlásit kybernetické bezpečnostní incidenty, a to v případě režimu nižších povinností pouze takové, které organizace vyhodnotí jako významné;
- informovat zákazníky o incidentech a hrozbách; a
- provádět protiopatření.
Vzhledem k tomu, že na poskytovatele služeb v oblasti potravinářství se bude vztahovat režim nižších povinností, protože se dle Směrnice NIS2 jedná o důležité subjekty, budou jejich povinnosti podrobně stanoveny v návrhu vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností.
V případě kontroly budou mít poskytovatelé regulované služby také povinnost podřídit se výkonu kontroly inspektorem.
Sankce a donucovací prostředky
Mezi donucovací prostředky patří kontroly ze strany NÚKIB a inspektorů a případná následná nápravná opatření, mezi která spadá vydání výstrahy, varování či reaktivního opatření.
Jako sankční prostředky jsou zavedeny pokuty, které budou ukládány v případě páchání přestupků navazující na zákonné povinnosti. Výše pokut stanovená v návrhu zákona o kybernetické bezpečnosti vychází ze Směrnice NIS2 tak, aby byly pokuty účinné, přiměřené a odrazující.
V případě poskytovatelů regulovaných služeb v režimu vyšších povinností může dojít i k jiným správním trestům, jako je například pozastavení platnosti certifikace či pozastavení výkonu řídící funkce.
Závěr
Cílem Směrnice NIS2 a zákona o kybernetické bezpečnosti je zajištění vysoké úrovně kybernetické bezpečnosti. V České republice by změny měly nastat s účinností zatím připravovaného zákona o kybernetické bezpečnosti, a to dle odhadů v druhé polovině roku 2024.
I přesto, že první návrh zákona již NÚKIB připravil, lze očekávat, že v rámci legislativního procesu dojde ještě k jeho změnám, o kterých Vás budeme informovat.
V případě, že byste měli ohledně Směrnice NIS2 či návrhu zákona o kybernetické bezpečnosti jakékoli dotazy, jsme Vám plně k dispozici.
Mgr. Kateřina Roučková, advokátní koncipientka – rouckova@plegal.cz
Mgr. Jakub Málek, managing partner – malek@plegal.cz
21. 03. 2023