Kybernetický zákon se dotkne firem, které o tom ani netuší

Vznikající zákon o kybernetické bezpečnosti se v tuzemsku dotkne odhadem 6 až 10 tisíc subjektů. Řada firem přitom vůbec netuší, že se přísnými podmínkami bude muset řídit. Háček totiž spočívá v tom, že se na ně zákon může vztahovat kvůli jejich vedlejším či doplňkovým aktivitám, nikoliv kvůli jejich hlavní podnikatelské činnosti. Poradenská společnost BDO proto přináší příklady takových firem se zdůvodněním, proč se na ně zákon vztahovat může. S účinností zákona, který do českého práva převádí evropskou směrnici NIS2, se počítá nejdříve od 1. července 2025. Podnikům tak na přípravu zbývá minimum času.

„Firmy, které se domnívají, že se jich NIS2 netýká, by si měly pečlivě zanalyzovat nejen své hlavní podnikatelské činnosti, ale i vedlejší či doplňkové aktivity. Regulace se totiž může vztahovat nejen na primární sektor jejich podnikání, ale také na související činnosti, které zasahují do regulovaných oblastí,“ uvozuje Libor Šrám, odborník na kyberbezpečnost firem z BDO.

„To znamená, že i organizace, které by jinak nespadaly pod tuto regulaci, mohou podléhat jejím požadavkům právě kvůli svým doplňkovým aktivitám. Například firmy, které se primárně věnují logistice, výrobě, retailu nebo jiným sektorům, mohou být nepřímo regulovány, pokud jejich doplňkové aktivity zahrnují prvky klíčové infrastruktury,“ doplňuje Libor Šrám.

Společnost BDO a Libor Šrám dále uvádějí příklady, jakých firem by se NIS2 prostřednictvím zákona o kybernetické bezpečnosti mohla dotknout, a to kvůli specifickým vedlejším činnostem:

1. Logistická firma s vlastními nabíjecími stanicemi pro elektromobily

Mohou spadat pod NIS2?

Ano, pokud nabíjecí stanice slouží i externím uživatelům.

• Proč?
  • Provozovatelé nabíjecí infrastruktury pro elektromobily spadají pod regulaci, pokud poskytují veřejnou službu nebo jsou součástí kritické energetické infrastruktury.
  • Firma provozující interní nabíjecí síť pro vlastní flotilu regulaci nepodléhá.
  • Pokud však umožňuje nabíjení externím uživatelům (např. partnerským dopravcům nebo široké veřejnosti), může být považována za regulovanou entitu.

2. Výrobní firma s fotovoltaikou na střeše a dodávkami přebytků do sítě

Mohou spadat pod NIS2?

Ano, pokud dodávají elektřinu do sítě ve významném objemu.

• Proč?
  • Směrnice NIS2 reguluje energetiku, včetně výrobců elektřiny.
  • Pokud organizace využívá solární energii pouze pro vlastní spotřebu, nepodléhá regulaci.
  • Pokud však dodává významné přebytky do distribuční sítě, může být považována za součást energetické infrastruktury a podléhat požadavkům NIS2.

3. Skladování nebo recyklace nebezpečného průmyslového odpadu

Mohou spadat pod NIS2?

Ano, pokud nakládají s odpadem zásadního významu pro ochranu veřejného zdraví a životního prostředí.

• Proč?
  • Směrnice NIS2 reguluje oblasti, jejichž narušení by mohlo způsobit vážné ekologické nebo zdravotní dopady.
  • Firmy provozující zařízení pro skladování, zpracování či likvidaci nebezpečných odpadů mohou být regulovány, pokud jejich infrastruktura hraje klíčovou roli v ochraně životního prostředí.

4. Provozování flotily firemních vozidel – např. pro rozvoz zdravotnického materiálu nebo potravin

Mohou spadat pod NIS2?

Ano, pokud podporují kritickou dodavatelskou infrastrukturu.

• Proč?
  • Logistické služby zajišťující distribuci klíčových komodit, jako jsou léky, zdravotnické vybavení či potraviny, mohou být považovány za kritickou infrastrukturu.
  • Pokud organizace provozuje vlastní flotilu pro běžné účely, regulaci nepodléhá.
  • Pokud však její vozidla zajišťují strategicky významné dodávky, může pod NIS2 spadat.

5. Vlastní čistírny odpadních vod u velkých průmyslových podniků

Mohou spadat pod NIS2?

Ano, pokud jejich provoz je klíčový pro fungování širší infrastruktury.

• Proč?
  • Sektor vodohospodářství patří mezi oblasti regulované směrnicí NIS2.
  • Firmy s interními čistírnami regulaci nepodléhají, pokud zpracovávají pouze vlastní odpadní vody.
  • Pokud však jejich čistírna zajišťuje čištění odpadních vod pro více subjektů nebo pokud její výpadek může mít zásadní environmentální dopad, mohou být zařazeny pod regulaci.

6. Správa vlastních rozvodných sítí pro průmyslové zóny nebo firemní kampusy

Mohou spadat pod NIS2?

Ano, pokud provozují vnitropodnikovou energetickou síť zásobující více subjektů.

• Proč?
  • Energetický sektor je klíčovým prvkem regulace NIS2.
  • Pokud organizace spravuje rozvodnou síť pro průmyslovou oblast, firemní kampus či jiný rozsáhlý areál, může být považována za kritickou součást distribuční infrastruktury a spadat pod regulaci.
  • Firmy, které čerpají elektřinu pouze pro vlastní provoz, se regulaci vyhnou, ale subjekty s interními distribučními sítěmi již mohou podléhat požadavkům na kybernetickou bezpečnost.

7. Distribuce biologického materiálu – krevní deriváty, tkáně, transplantáty

Mohou spadat pod NIS2?

Ano, pokud jejich služby jsou klíčové pro zdravotnickou infrastrukturu.

• Proč?
  • Směrnice NIS2 pokrývá zdravotnické služby a související dodavatelské řetězce.
  • Firmy, které distribuují biologický materiál, mohou být považovány za kritické subjekty, pokud jejich výpadek ohrozí dostupnost zdravotní péče.

8. Správa interních SOC center (Security Operations Center) – poskytování kyberbezpečnostních služeb jiným firmám

Mohou spadat pod NIS2?

Ano, pokud poskytují kybernetickou bezpečnost jako službu.

• Proč?
  • Směrnice NIS2 zahrnuje poskytovatele kritických digitálních služeb, včetně kyberbezpečnostních operací.
  • Pokud firma spravuje vnitropodnikový SOC pouze pro sebe, regulaci nepodléhá.
  • Pokud však poskytuje kyberbezpečnostní služby dalším organizacím, například v podobě externího monitoringu a reakce na incidenty, může být považována za regulovaný subjekt.

9. Provoz soukromé telekomunikační infrastruktury (např. firemní optické sítě, vlastní 5G)

Mohou spadat pod NIS2?

Ano, pokud poskytují telekomunikační služby dalším subjektům.

• Proč?
  • Telekomunikační sektor je jedním z klíčových sektorů pokrytých směrnicí NIS2.
  • Pokud organizace provozuje vlastní datovou nebo optickou síť a poskytuje její služby externím partnerům (např. nájemcům v průmyslovém areálu), může být považována za poskytovatele elektronických komunikací.
  • Regulace se nevztahuje na organizace, které síť využívají výhradně interně.

10. Poskytování cloudu nebo hostingových služeb jiným firmám (včetně interních IT oddělení nabízejících služby dalším entitám ve skupině)

Mohou spadat pod NIS2?

Ano, pokud poskytují cloudové služby dalším subjektům.

• Proč?
  • NIS2 reguluje poskytovatele digitálních služeb, včetně cloud computingu, hostingových center a datových úložišť.
  • Pokud organizace spravuje interní cloud pouze pro vlastní potřeby, regulaci nepodléhá.
  • Pokud však poskytuje cloudovou nebo hostingovou infrastrukturu jiným firmám či subjektům (např. pobočkám, partnerům, zákazníkům), může být považována za regulovaný subjekt.

11. Vývoj a distribuce průmyslového softwaru pro řízení provozu (např. SCADA, MES systémy, automatizace výrobních linek)

Mohou spadat pod NIS2?

Ano, pokud dodávají software pro kritické infrastruktury.

• Proč?
  • Vývojáři softwaru, který řídí kritické průmyslové operace, mohou spadat pod regulaci NIS2.
  • Pokud jejich produkty podporují řízení elektráren, vodohospodářských zařízení, dopravních systémů nebo jiných regulovaných infrastruktur, mohou být považováni za klíčový dodavatelský článek.
  • Firmy vyvíjející software pouze pro vlastní potřebu do regulace typicky nespadnou.

12. Provoz interní distribuční soustavy zemního plynu v průmyslových areálech

Mohou spadat pod NIS2?

Ano, pokud zajišťují plyn pro více subjektů.

• Proč?
  • Distribuce zemního plynu je součástí energetické infrastruktury pokryté NIS2.
  • Pokud organizace spravuje interní plynovou síť, která zásobuje další podniky nebo nájemce v průmyslovém areálu, může být považována za regulovaný subjekt.
  • Použití plynu výhradně pro vlastní výrobu obvykle regulaci nepodléhá.

13. Provoz interní dopravní infrastruktury v průmyslových zónách (např. železniční vlečky, terminály pro přepravu zboží)

Mohou spadat pod NIS2?

Ano, pokud poskytují dopravní služby jiným subjektům.

• Proč?
  • Dopravní sektor je regulován, pokud jeho infrastruktura slouží jako kritický uzel pro přepravu zboží nebo osob.
  • Pokud organizace spravuje vlastní železniční vlečku či logistický terminál, který slouží externím zákazníkům nebo partnerům, může spadat pod regulaci.
  • Interní dopravní infrastruktura, využívaná pouze pro vlastní potřebu, obvykle regulaci nepodléhá.

14. Provoz bezpečnostních služeb a fyzické ostrahy kritických objektů (např. letišť, datových center, vodáren, energetických podniků)

Mohou spadat pod NIS2?

Ano, pokud chrání kritickou infrastrukturu.

• Proč?
  • Ochrana kritických objektů (např. datová centra, energetické provozy, letiště) spadá pod požadavky na kybernetickou a fyzickou bezpečnost.
  • Pokud bezpečnostní agentura zajišťuje ochranu těchto objektů, může být považována za strategického dodavatele a podléhat požadavkům NIS2.

15. Skladování nebo distribuce farmaceutických látek a léčiv

• Mohou spadat pod NIS2?

Ano, pokud mají klíčovou roli v dodavatelském řetězci zdravotnictví.

• Proč?
  • Farmaceutický sektor spadá pod NIS2, protože výpadky v dodávkách léčiv mohou mít zásadní dopad na veřejné zdraví.
  • Pokud organizace distribuuje nebo skladuje léčiva v rámci kritického dodavatelského řetězce, může být považována za regulovaný subjekt.

„Účinnost zákona může nastat nejdříve od 1. července 2025, realističtěji se ovšem jeví termín 1. ledna 2026. To již nyní přiznává i NÚKIB, který je předkladatelem zákona,“ uvádí Libor Šrám z BDO. Česko nicméně zákon přijímá se zpožděním, evropskou směrnici NIS2 se totiž zavázalo přijmout s účinností od října 2024. Kvůli prodlevám už Česko obdrželo v únoru vytýkací dopis z Evropské komise.

Pro firmy bude nová povinnost znamenat nejprve vytvoření dokumentů, které budou stanovovat postupy a chování organizace v souladu s novým zákonem o kybernetické bezpečnosti. „Očekávají se výdaje řádově ve stovkách tisíc korun,“ prohlašuje Libor Šrám. Druhým krokem bude zavedení technických bezpečnostních opatření. „Pokud firma nemá dosud žádná technická opatření, náklady se mohou pohybovat v rozmezí vyšších stovek tisíc až jednotek milionů korun. K tomu se přičte následná podpora těchto technologií v dalších letech jejich provozu,“ zakončuje Libor Šrám.

Foto: Pixabay

Zdroj: EPIC PR