Zákon zavádí dvanáctiměsíční adaptační období, které má umožnit organizacím se přizpůsobit novým povinnostem a připravit se na jejich úplné implementace.
Dne 3. dubna nabyl účinnosti nový předpis, který implementuje směrnici o kybernetické bezpečnosti NIS2 v rámci aktualizace zákona o Národním systému kybernetické bezpečnosti. Tato legislativa zavádí přísnější požadavky na ochranu informačních systémů, řízení rizik a odpověď na bezpečnostní incidenty. Nové normy ukládají podnikům a veřejným institucím nutnost přijmout komplexnější přístup k kybernetické bezpečnosti, který zahrnuje jak technologické, tak organizační aspekty.
Jedním z klíčových požadavků je provedení podrobné inventarizace IT zdrojů a identifikace možných hrozeb pro fungování telekomunikačních systémů. Organizace budou rovněž povinny vytvořit a zdokumentovat postupy pro nepřetržité řízení bezpečnosti, včetně monitorování rizik a reakce na incidenty. V praxi to znamená potřebu implementace soudržného systému správy bezpečnosti informací a pravidelnou aktualizaci procedur ochrany dat a digitální infrastruktury.
Změna zákona také přináší důležitou úpravu v klasifikaci subjektů, na které se regulace vztahují. Dřívější rozdělení na klíčové poskytovatele služeb a digitální poskytovatele bylo nahrazeno novou kategorií klíčových a důležitých subjektů. Zároveň byla rozšířena skupina institucí a firem, které musí dodržovat nové předpisy. Tyto zahrnují organizace v sektorech, které jsou zvlášť důležité pro fungování státu, ekonomiky a bezpečnost občanů.
Odhaduje se, že nová regulace se může vztahovat na přibližně 38 tisíc subjektů, z nichž asi 27 tisíc jsou veřejné instituce. Firmy a organizace působící v daných oblastech by měly okamžitě posoudit, zda spadají pod nové normy. Zákon stanovuje dvanáctiměsíční adaptační období, které poskytne organizacím čas na přípravy na plné zavedení nových povinností a implementaci potřebných procedur a organizačních opatření.
Dne 13. dubna Ministerstvo digitalizace zahájilo proces automatického zápisu stávajících poskytovatelů klíčových služeb, poskytovatelů důvěry, telekomunikačních podnikatelů a veřejných subjektů do registru Národního systému kybernetické bezpečnosti. Od 7. května pak bude možné samostatné přihlášení do seznamu pro subjekty, které nebyly zahrnuty do automaticky prováděného zápisu.
Mezi klíčové sektory patří: energetika (těžba surovin, výroba elektřiny, tepla, ropa a paliva, plyn, jaderná energetika, vodík), doprava (letecká, železniční, vodní, silniční), bankovnictví a tržní infrastruktura, zdravotnictví (poskytování zdravotní péče a veřejné zdraví, výroba a distribuce účinných látek, léčiv a zdravotnických prostředků), zajištění pitné vody a její distribuce, kolektivní odvádění odpadních vod, digitální infrastruktura (digitální infrastruktura mimo elektronickou komunikaci, elektronická komunikace), správa ICT služeb, činnost ve vesmíru a veřejné subjekty.
V kategorii důležitých sektorů se objevily služby poštovní, investice do jaderné energetiky, nakládání s odpady (sběr odpadu, doprava odpadu, zpracování odpadu, včetně třídění, spolu s dohledem nad těmito činnostmi, stejně jako následné nakládání s místy pro likvidaci odpadu, činnosti vykonávané jako prodejce odpadu nebo zprostředkovatel jeho obchodu), výroba a distribuce chemických a potravinářských výrobků, výrobní procesy (výrobky zdravotnické a diagnostice in vitro, počítače, elektronika a optika, elektrická zařízení, stroje a zařízení, někdy nezařazené, motorová vozidla, přívěsy a návěsy, další dopravní zařízení, poskytovatelé digitálních služeb a výzkumné instituce, a další veřejné subjekty.
Ministerstvo digitalizace také plánuje brzy zveřejnit návrh souboru požadavků na dokumenty s normalizací, včetně norem, které mají usnadnit určení specifických požadavků na systémy řízení bezpečnosti informací v jednotlivých sektorech podléhajících regulaci.
foto: freepik.com
autor: /kp/


.png)











