Přibližně šest tisíc českých podniků a organizací místo dnešních asi čtyř stovek bude muset chránit bezpečnost svých počítačových sítí a systémů podle evropských požadavků. Především budou muset zavést preventivní opatření na ochranu před hackerskými útoky a pravidla, která usnadní reakci na kyberútoky. Od poloviny roku 2024 – alespoň podle odhadu Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) – jim to nařídí nová unijní směrnice, jejíž finální text je podle advokátky Jany Sedlákové ze společnosti Sedlakova Legal před dokončením.

Pro dotčené firmy to bude znamenat nejen nové povinnosti, ale také další výlohy. Podle analýzy Hospodářské komory ČR je na kyberbezpečnost nezbytné vydávat v průměru od jednoho do pěti procent obratu podniku. Její analytici to vidí jako nutnou daň rozvoji technologií, jež přinášejí vyšší efektivitu práce. „Firmy budou lépe připraveny na výpadek v důsledku kybernetického útoku. Takže i po masivním napadení budou schopny zachovat základní funkce, přenést se přes krizové období a obnovit činnost,“ říká Jaroslav Pejčoch, vedoucí skupiny pro kybernetickou bezpečnost.

Soubor pravidel zahrne duplicitní přihlašování do důležitých systémů, zálohování dat nebo zavedení odolné kryptografie. Důležitá bude analýza rizik, zavedení postupů při řešení kyberbezpečnostních incidentů a informování o možné zranitelnosti sítí a informačních systémů.

Zásadní rozšíření

Okruh firem a organizací, jichž se směrnice dotkne, je rozšířen tak, aby byla na vyšší úrovni zabezpečena odvětví průmyslu a služeb klíčová pro společenský a hospodářský život společnosti. Rozšíření působnosti zákona je zásadní právě proto, že navzdory relativní vyspělosti se kyberbezpečnostní legislativa nevztahuje na dostatečný počet firem, aby nedocházelo k neustálému ohrožování či rovnou narušování trhů.

Do nové a přísněji regulované kategorie „zásadního významu“ bude patřit energetika, doprava, bankovnictví a infrastruktura finančních trhů, zdravotnictví, pitná i odpadní voda, digitální infrastruktura a také veřejná správa. Mírnější režim se má vztahovat na poštovní služby a digitální služby, odpadové hospodářství, výzkum a chemický průmysl i potravinářství. Hackeři například dokážou na dálku ovládat dávkovače chemických látek, případně celé výrobní linky.

V energetice se k elektřině, ropě a plynu, které již pod dnešní evropské kyberbezpečnostní předpisy spadají, přidává dálkové vytápění a využívání vodíku. Ve zdravotnictví obdobně výzkum a vývoj léčivých prostředků a také produkce základních farmaceutických výrobků, přípravků a zdravotnických potřeb nezbytných v případě ohrožení veřejného zdraví. V digitální infrastruktuře Evropská unie bude plnění normy podle advokátní kanceláře Toman & Partneři vyžadovat i od všech, kdo poskytují služby cloud computingu, datových center i sítí pro doručování obsahu, dále služby vytvářející důvěru a veřejné služby elektronických komunikací. „Do kategorie zásadního významu bude zahrnut i vesmír, ačkoliv v Česku zatím není umístěn žádný subjekt pozemní vesmírné infrastruktury,“ připomíná advokátka Sedláková, jak bude Česko muset směrnici implementovat.

Nově se požadavky budou týkat i dálkového vytápění, datových center či výroby léků nezbytných za krizových situací. Ale i odpadového hospodářství a potravinářského průmyslu.

Přísnější podmínky začnou platit pro velké firmy s více než 250 zaměstnanci, o něco mírnější pro podniky střední s více než 50 zaměstnanci. „Dceřiná firma se může dostat do kategorie středních a velkých podniků připočtením velikosti mateřské společnosti,“ připomíná za Hospodářskou komoru Pejčoch.

Směrnice se má týkat i malých institucí, pokud zajišťují veřejné sítě elektronických komunikací nebo působí ve veřejné správě. Pod regulaci se ale dostanou i další subjekty bez ohledu na velikost. „V případě, že budou jediným poskytovatelem služby na území daného státu a narušení jejich provozu by mohlo mít dopad na veřejnou bezpečnost, zejména na zdraví lidí,“ říká Sedláková.

Odpovědnost za zavedení požadovaných opatření budou mít vedoucí orgány firem a institucí. Jejich členové k tomu absolvují speciální školení. Podle evropského návrhu budou úřadům hlásit každou významnou kybernetickou hrozbu, kterou zjistí. Za nedodržení jsou navrženy pokuty až do výše 10 milionů eur nebo dvou procent z celkového celosvětového obratu podniku.

Půjde například o zálohování dat nebo zavedení odolné kryptografie. Důležitá bude také analýza rizik a zavedení postupů pro řešení kyberincidentů.

Přetížené firmy zaspaly

Hospodářská komora připouští, že domácí podniky mají v kyberbezpečnosti dluh. Covidová pandemie a následné problémy s energiemi totiž ochranu internetu zatlačily do pozadí. Firmy proto jsou na požadavky směrnice připraveny nedostatečně, ačkoliv je kybernetické útoky, kterých v posledních letech přibývá, mohou položit nebo kompromitovat. Připravovanou regulaci komora vítá, protože zajistí vyšší odolnost české průmyslové sféry vůči tomuto typu kriminality. Komora je podle Pejčocha rovněž připravena s regulačními orgány i dalšími profesními organizacemi a univerzitami pomáhat podnikům orientovat se ve složité problematice. Počítá například s pořádáním zátěžových testů a se sdílením know‑how.

Související