Firmy jsou zmatené: Není jasné, na které se vztahuje nový kybernetický zákon

  • Část českých firem si stěžuje, že z nového zákona o kybernetické bezpečnosti není jasné, koho se přesně týká.
  • Podle ředitele certifikační společnosti Bureau Veritas je předpis určen pouze ministerstvům, krajským úřadům a dalším orgánům veřejné moci.
  • Dotčené jsou ale i společnosti, jež spadají do takzvané kritické infrastruktury. Do té patří i oblasti dopravy, potravinářství či bankovnictví.

Některé tuzemské firmy a organizace nevědí, zda se na ně vztahuje nový zákon o kybernetické bezpečnosti. Prováděcí vyhláška či novelizované nařízení vlády jim v tom nedává jasno. Vyplývá to z názorů právníků i firem. Do konce ledna by se přitom měly hlásit národnímu centru kybernetické bezpečnosti CERT.

„Mnoho soukromých firem nás kontaktuje s dotazem, zda se na ně vůbec vztahuje nový kybernetický zákon, potažmo nejproblematičtější vyhláška o významných informačních systémech. Podnikatelskou sféru mohu uklidnit, protože tento předpis je určen pouze ministerstvům, krajským úřadům a dalším orgánům veřejné moci,“ uvedl generální ředitel certifikační společnosti Bureau Veritas Jakub Kejval.

Firmy by si ale podle Kejvala měly ověřit, zda podle aktualizovaného vládního nařízení nespadají do prvků takzvané kritické infrastruktury. Týká se to například bank či pojišťoven s tržním podílem nad deset procent. Platí to i pro soukromé zemědělce v případě, že hospodaří na půdě s výměrou nejméně čtyři tisíce hektarů pro jednotlivou plodinu.

Podle advokáta Jiřího Matznera by se mohlo zdát, že se režim zákona v oblasti kritické infrastruktury bude týkat jen poskytovatelů internetového připojení a telekomunikačních sítí obecně. Týká se ale i společností z energetiky, vodohospodářství, potravinářství a dopravy. Dotkne se i bankovního sektoru a integrovaných záchranných složek.

Počet kybernetických zločinů loni rostl

Klíčové subjekty, kterých se zákon dotkne, jsou na jeho užívání připraveny, menší firmy a společnosti, které se do režimu kritické infrastruktury dostaly nově, však čelí náročným povinnostem. „Podmínky, které musí subjekty splňovat, jsou komplikované a jejich pochopení a správná aplikace vyžaduje dostatečné technologické, ale i právní znalosti. Lze očekávat, že firmy nově pod režim zákona spadající budou nuceny vyhledat konzultaci u odborníků na danou oblast,“ dodal Matzner.

Povinné subjekty musejí mít zavedené bezpečnostní opatření vyplývající z nových vyhlášek nejpozději k 1. lednu 2016. Týká se to například většiny ministerstev, Generálního finančního ředitelství, Státního úřadu pro kontrolu léčiv, Všeobecné zdravotní pojišťovny, České národní banky a dalších.

„Roční lhůta je ještě zvládnutelná, ale za podmínky nasazení velkého úsilí a statisícových částek. Zejména státní správa bude mít problém najít ve svých osekaných rozpočtech nemalé finanční prostředky a rychle je uvolnit,“ podotkl Kejval.

Zákon o kybernetické bezpečnosti schválili poslanci loni a platí od začátku letošního roku. Prováděcí předpisy vyšly na přelomu loňského a letošního roku. Podle Bureau Veritas se loni v prvním pololetí počet trestných činů spáchaných s využitím informačních technologií v ČR zvýšil o 45 procent na 2276 případů.

Článek naleznete také na webu ihned.cz