
Platí pro vás nový Zákon o kybernetické bezpečnosti?
Už víte, jestli se připravované změny týkají vaší společnosti? Pomocí našeho bezplatného dotazníku zjistíte, jestli jste poskytovatelem regulované služby podle nového návrhu Zákona o kybernetické bezpečnosti. Na konci dotazníku pro vás shrneme přehled povinností, abyste věděli, na co se máte připravit, až ZoKB vstoupí v platnost.
Otestujte se: Spadáte pod NIS2 / nový ZoKB?

Konference k NIS2/ZoKB
Přišli jste o naši konferenci k NIS2/ZoKB?
Podívejte se na záznam
Co všechno se dozvíte?
V listopadu 2024 jsme pořádali konferenci za účasti NÚKIB, kde jsme ukázali, jak se připravit na novou legislativu. Pokud jste se na konferenci nedostali nebo jste se o ní dozvěděli pozdě, můžete si stáhnout záznam jednotlivých přednášek.
Vývoj útoků v ČR

Václav Zubr, ESET
O vyřazení firmy z provozu po zašifrování ransomwarem můžeme z médií slyšet téměř každý týden. Co už se většinou nepíše je, že zašifrování bývá až finální fáze celé operace. A ta trvá dny, týdny, někdy i měsíce. Jak je ale možné, že i přes nasazené anti-malware produkty dojde k zašifrování? A jak takové útoky vlastně probíhají, jak je odhalit a jak je účinně blokovat? Na to vše jsme se zaměřili v rámci přednášky.
Jaké povinnosti vyplývají z NIS2?

Vladěna Sasková, NÚKIB
S Vladěnou Saskovou, která se v Národním úřadu pro kybernetickou a informační bezpečnost aktuálně věnuje transpozici směrnice NIS2, jsme se podívali na to, jaký je aktuální stav nového Zákona o kybernetické bezpečnosti, jaké z něho vyplývají nové povinnosti a následky jejich nesplnění a jak se na budoucí regulaci připravit. Vyvrátili jsme také nejčastější mýty, které jsou s novým zákonem spojeny.
Implementace NIS2 v mezinárodní farmaceutické firmě v ČR

Jan Prokop, MSD
Honza, jehož práce pro společnost MSD spočívá v propojování byznysových divizí společnosti s týmy specializujícími se na kybernetickou bezpečnost a řízení rizik, ve svém příspěvku představil přístup k NIS2 v nadnárodní farmaceutické společnosti a osvětlí složitost této problematiky v kontextu různých implementací směrnice NIS2 napříč jednotlivými zeměmi.
Jak zpracovat katalog aktiv a analýzu rizik?

Lucie Kiesewetterová & Matúš Fábry, ESET Research
Jak prakticky na to a kde začít, pokud jste řízení bezpečnosti dosud nedělali, se dozvíte právě v této přednášce. Lucie využila své praktické zkušenosti načerpané během více než desetiletého provádění interních auditních zakázek a Matúš zase z dlouholetého poskytování služeb v oblasti penetračního testování, sociálního inženýrství, auditních a konzultačních činností pro ESET Research.
Jak s ZoKB může pomoct ESET - služby a řešení

Ondřej Dědič, ESET software
Ondřej představil služby a řešení ESET v souvislosti s navrhovanou vyhláškou k ZoKB a ukázal, v čem mohou pomoci s plněním povinností vyplývajících z toho zákona. Ondřej se v rámci přímého obchodu ESET software stará o přímé zákazníky ESETu.
Vyplňte formulář
a záznam je váš

Jak se připravit na ZoKB?
Účinnost nové regulace se předpokládá v Q2 2025. K plnění některých povinností, jako například zavádění bezpečnostních opatření, zákon stanovuje roční přechodovou lhůtu. Pojďme se společně podívat na to, co pro svoji firmu z hlediska bezpečnosti můžete udělat a kde vám může pomoct ESET.
8 KROKŮ KE ZVÝŠENÍ BEZPEČNOSTI PODLE NIS2/ZOKB S ESETEM
- KROK: Zmapujte aktuální stav bezpečnosti ve vaší organizaci, definujte aktiva dle jejich významu a jejich dopadu na narušení běžného fungování organizace.
Kategorizace aktiv a analýza rizik
- KROK: Prověřte IT infrastrukturu, aplikace nebo síťové systémy vaší organizace (z pohledu útočníka) s cílem identifikovat slabiny a nedostatky v jejich zabezpečení.
Penetrační testování
Skenování zranitelností
- KROK:Zpracujte plán implementace bezpečnostních opatření. Zavedení systému řízení kybernetické bezpečnosti ve vaší organizaci může trvat i několik měsíců.
Zajištění souladu se Zákonem o kybernetické bezpečnosti (evropskou směrnicí NIS2)
KROK: Zvyšujte povědomí o kybernetické bezpečnosti ve vaší organizaci. Vzdělaní zaměstnanci jsou klíčovým faktorem při prevenci kybernetických útoků.
Sociální inženýrství
E-learning: Školení kybernetické bezpečnosti (Basic)
E-learning: Školení kybernetické bezpečnosti (Premium)
- KROK: Zaveďte kryptografii
- Šifrování dat s ESET Full Disk Encryption a ESET Endpoint Encryption
- ESET PROTECT Complete včetně šifrování celého disku
- KROK: Zaveďte řízené přístupy a identity
- KROK: Zajistěte síťovou a aplikační bezpečnost
- Ochrana koncových a mobilních zařízení
- Ochrana serverů
- Zabezpečení a ochrana mail serveru
- Ochrana cloudových aplikací
- Ochrana před pokročilými hrozbami
- Správa zranitelností a záplat
- KROK: Zaveďte postupy pro bezpečnostní události a incidenty

Užitečné materiály k NIS2 a ZoKB
Největší hrozby pro firemní mobilní zařízení
Zatímco zabezpečení počítačů je všeobecně považováno za základ, jak je to s mobilními zařízeními, která nás často provázejí...
Správa zranitelností jako základ kyberprevence
Aktivní sledování a záplatování zranitelností v systémech a aplikacích je klíčové pro prevenci narušení dat, přestože IT správci...
Kyberprevence: Jak snížit náklady a zvýšit bezpečnost?
Podniky se stále více zaměřují na kyberprevenci jako nákladově nejefektivnější způsob ochrany před kybernetickými útoky...
Implementace webových kontrol: Jak může...
Mnoho zaměstnanců tráví většinu pracovního dne prohlížením webového obsahu, což může vést k riziku napadení malwarem...
Jaké povinnosti přinese nový Zákon o kybernetické bezpečnosti?
Co obsahuje netrpělivě očekávaná verze nového Zákona o kybernetické bezpečnosti (ZKB)....
Vladěna Sasková: Významně se zvyšují sankce za neplnění povinností ZKB/NIS2
Vladěna Sasková z Národního úřadu pro kybernetickou a informační bezpečnost představuje požadavky nejnovější legislativy...
NIS2: Co očekávat od nové evropské směrnice o kyberbezpečnosti?
Po zavedení směrnice o bezpečnosti sítí a informací (NIS) v roce 2016 se Evropská unie rozhodla zaujmout přísnější postoj, rozšířit...
5 způsobů, jak zvládnout hrozbu v podobě vedoucích pracovníků
Požadavky NIS2 zahrnují povinné vzdělávání vrcholného vedení organizace a větší odpovědnost managementu za zajišťování kybernetické bezpečnosti...
Nejčastější rizika v dodavatelském řetězci a jak se jim vyhnout
Spadáte mezi poskytovatele strategicky významných služeb? Pak budete muset zavést mechanismus prověřování dodavatelského řetězce.

Často kladené otázky k NIS2
Co je NIS2?
NIS2 je modernizovaná verze směrnice NIS z roku 2016. Jejím cílem je posílit a zabezpečit evropský kyberprostor. Členské státy EU mají povinnost implementovat tuto směrnici do svého právního systému. NIS2 přináší nová opatření pro zlepšení kybernetické bezpečnosti.
- Nový Zákon o kybernetické bezpečnosti implementuje požadavky směrnice NIS2 do českého právního řádu.
- Pro společnosti je klíčové, zda spadají pod nižší nebo vyšší režim. Od toho se odvíjí jejich povinnosti.
Navržený nový Zákon o kybernetické bezpečnosti má nahradit současný zákon z roku 2014. Návrh nového zákona přináší tyto klíčové změny:
- Regulované organizace a služby: Nový zákon se týká nově regulovaných subjektů a zároveň upravuje působnost na další systémy a služby organizací, které již podléhají stávajícímu kybernetickému zákonu.
- Bezpečnost dodavatelského řetězce: Nový ZoKB klade větší důraz na bezpečnost dodavatelského řetězce.
- Hlášení incidentů: Regulované subjekty budou mít povinnost hlásit kybernetické incidenty.
- Pokuty: Maximální výše pokuty za porušení povinností zákona může činit 250 mil. Kč nebo 2 % z čistého celosvětového ročního obratu.
- Odpovědnost a povinnosti vedení: Zákon zdůrazňuje odpovědnost a povinnosti vrcholného vedení organizací.
Kdy bude platit NIS2?
Směrnice NIS2 byla na úrovni EU přijata v prosinci 2022. Návrh zákona byl 17. července 2024 schválen vládou. Účinnost nové regulace se předpokládá k 1. lednu 2025. K plnění některých povinností, jako například zavádění bezpečnostních opatření, zákon stanovuje roční přechodovou lhůtu.
Spadám pod NIS2?
NIS2 respektive nový Zákon o kybernetické bezpečnosti dopadne v Česku přibližně na 6 000 organizací oproti stávajícím 300. Zákon bude regulovat přes 105 služeb v 18 odvětvích. Hlavními kritérii pro určení, jestli organizace spadá pod povinnosti nového Zákona, jsou její velikost (počet zaměstnanců nebo obrat) a služby, které poskytuje (alespoň jednu tzv. regulovanou službu).
Zákon rozděluje poskytovatele regulované služby, kteří naplní daná kritéria, do dvou kategorií – režimu nižších a vyšších povinností. Pokud stále nevíte, do jaké kategorie spadáte - otestujte se pomocí našeho dotazníku.
Jaké největší změny přináší NIS2?
Oproti původní směrnici NIS a Zákonu o kybernetické bezpečnosti významně naroste počet regulovaných subjektů. Zvyšují se také sankce z původních 5 milionů Kč na 250 mil. Kč (nebo 2 % celosvětového ročního obratu) a přibyly také nefinanční sankce jako pozastavení certifikace nebo pozastavení výkonu řídicí funkce vrcholného managementu. Mezi nejvýznamnější změny v povinnostech patří:
- zodpovědnost vrcholného managementu za řízení kybernetické bezpečnosti,
- nutnost kontinuálního zvyšování bezpečnostního povědomí,
- potřeba identifikovat a evidovat aktiva (u vyššího režimu pak ještě povinnost identifikovat a hodnotit rizika),
- zavedení minimálních (smluvních i bezpečnostních) požadavků na dodavatele.
Co je samoidentifikace?
Organizace musí samy posoudit, jestli splňují podmínky pro registraci regulované služby a tedy vztahují se na ně povinnosti nového Zákona. Může jim k tomu pomoci Vyhláška o regulovaných službách anebo náš webový rozcestník. Pokud společnost podmínky naplňuje, musí se ohlásit u Národního úřadu pro kybernetickou a informační bezpečnost prostřednictvím jejich platformy Portál NÚKIB. Následně musí stanovit systém řízení kybernetické bezpečnosti dle rozsahu povinností, které se liší podle toho, zda regulovaná služba spadá do vyššího nebo nižšího režimu povinností (přehled povinností se dozvíte v našem rozcestníku).
Kdo bude kontrolovat plnění povinností nového Zákona?
Oficiální kontroly bude provádět NÚKIB, nicméně kontrolu může provést i dozorový orgán dle odvětví, například pro letectví Úřad pro civilní letectví (ÚCL) nebo Česká národní banka (ČNB) pro finanční instituce.
Jaké bezpečnostní role musím dle nového ZoKB v organizaci zavést?
Záleží na tom, do jakého režimu povinností spadá vámi poskytovaná regulovaná služba.
Pro nižší režim je potřeba zajistit osobu, která bude zodpovědná za řízení kybernetické bezpečnosti.
Pro vyšší režim je třeba určit manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti a auditora kybernetické bezpečnosti.
Jaký je rozdíl mezi NIS2 a DORA?
Jedná se o dvě rozdílné regulace vydané Evropským parlamentem a Radou Evropské unie, které byly publikovány v podobném období.
NIS2 je „směrnice“, takže každá členská země musí zavést povinnosti vyplývající z této směrnice do lokální legislativy. Zatímco DORA je „nařízení“, takže je již v tomto znění platné pro všechny členské země EU.
Regulace se od sebe liší rozsahem povinností a hlavně tím, koho se týkají. DORA je určena primárně pro finanční instituce, NIS2 se týká i organizací z dalších odvětví, včetně těch finančních.
Další rozdíl je v datech platnosti a účinnosti těchto regulací – DORA vešla v platnost v lednu 2023 a organizace mají 2 roky na zavedení jejích povinností, tj. do ledna 2025. NIS2 vešla v platnost v prosinci 2022 a členské státy mají povinnost zavést její obsah do lokální legislativy do října 2024, v ČR formou nového Zákona o kybernetické bezpečnosti. Od data účinnosti nového Zákona začne organizacím běžet lhůta na ohlášení regulované služby u NÚKIBu, a poté lhůta 1 roku na zavedení povinností.
V České republice se také liší dozorový orgán pro jednotlivé regulace – u NIS2 to bude Národní úřad pro kybernetickou a informační bezpečnost, v případě DORA to bude Česká národní banka.
Jaké společnosti z energetiky budou patřit do regulace? Provozovatele elektráren? Distributoři komponent a další?
Seznam regulovaných služeb v odvětví energetiky a další podmínky pro zařazení do regulace jsou uvedeny v návrhu prováděcího předpisu k návrhu zákona o kybernetické bezpečnosti – vyhlášce o regulovaných službách. Vše je dostupné zde: https://www.psp.cz/sqw/text/tiskt.sqw?O=9&CT=759&CT1=0.
Vyhlášky k zákonu jsou v tuto chvíli publikovány ve formě tezí a jejich text se ještě může (a v některých případech s jistotou bude) měnit. Všechny prováděcí předpisy budou mít vlastní legislativní proces, v rámci kterého bude možné se s jejich textem seznámit a sledovat průběh jejich přijímání.
Proč je proces u NÚKIBu tak zdlouhavý, když se vše kopíruje z EU?
Směrnice NIS2 není adresována společnostem, ale státům, čemuž odpovídá i její textace. Z toho důvodu je potřeba její text převést do vnitrostátního práva a začlenit jej do zbytku právního řádu daného státu. Cílem NÚKIB je mít takový zákon, který bude co nejvíce uživatelsky přívětivý, jeho adresáti mu budou rozumět a bude co nejvíce navazovat na současnou regulaci kybernetické bezpečnosti. Takové přizpůsobení však vyžaduje mnoho času a práce.
Současně se NÚKIB rozhodl postupovat v procesu přípravy návrhu zákona velmi transparentně a umožnit široké odborné veřejnosti i nad rámec standardního legislativního postupu návrh připomínkovat a navrhovat zlepšení. Tyto připomínky a návrhy pak musel vypořádat.
Co když poskytujeme regulovanou službu pouze interně sesterským společnostem? Neposkytujeme regulovanou službu, pouze v jednom dodatečném procesu výroby používáme chemickou látku s vysokou nebezpečností. Bude NIS2 jen pro tento proces?
Pro většinu regulovaných služeb platí, že společnost spadá do regulace v případě, že tyto služby poskytuje právně odlišnému subjektu. Není rozhodné, zda je tento právně odlišný subjekt součástí jednoho holdingu či nikoli.
Co se týče regulace chemického průmyslu, doporučujeme seznámit se s návrhem vyhlášky o regulovaných službách, kde je uvedeno, které služby jsou regulovány. Regulace chemického průmyslu je navázána na nařízení REACH a používá jeho pojmy a adresáty – podle toho, zda společnost vykonává činnosti regulované nařízením REACH, pak velmi snadno dovodí, zda bude spadat i do regulace nového zákona o kybernetické bezpečnosti.
Text návrhu vyhlášky o regulovaných službách je dostupný zde: https://www.psp.cz/sqw/text/tiskt.sqw?O=9&CT=759&CT1=0.
Vyhlášky k zákonu jsou v tuto chvíli publikovány ve formě tezí a jejich text se ještě může změnit (zejm. v chemickém průmyslu lze očekávat úpravu kritérií). Všechny prováděcí předpisy budou mít vlastní legislativní proces, v rámci kterého bude možné se s jejich textem seznámit a sledovat průběh jejich přijímání.
Spadnou do některého z režimů v rámci národní bezpečnosti automaticky České dráhy a hlavně jejich dceřiné společnosti?
Do regulace budou spadat ty společnosti, které poskytují regulovanou službu či služby a splní další podmínky uvedené v návrhu vyhlášky o regulovaných službách. U každé jednotlivé společnosti (lhostejno, zda je součástí větší skupiny) je potřeba posoudit, zda splňuje podmínky pro zařazení do regulace. U Českých drah lze s ohledem na jejich činnost a velikost očekávat, že budou poskytovatelem regulované služby či služeb v odvětví Drážní dopravy.
Pokud již v současné době spadáme pod ZKB a plníme veškeré povinnosti, co vše se pro nás mění s přijetím nového zákona? Je k dispozici nějaká rozdílová analýza?
Rozdílovou analýzu aktuálně NÚKIB připravuje a plánuje ji zveřejnit před nabytím účinnosti nového zákona. Zjednodušeně lze říci, že pokud společnost řádně plní všechny povinnosti ze ZKB a tento přístup aplikuje na podstatnou část celé organizace, bude pro ni přechod na novou úpravu znamenat jen dílčí a nijak dramatickou úpravu vnitřních procesů.
Pokud jsme již určeni jako základní služba podle současného ZKB musíme se znovu registrovat do portálu?
Ano, registrační povinnost se vztahuje i na dosud regulované subjekty. Důvodem je zejména skutečnost, že nově může být vaše společnost regulována pro více služeb (nejen ty, pro které byla určena provozovatelem základní služby).
Spadají sem i o.s.p pokud mají interní, např. HR, systém a zároveň mají desítky zaměstnanců na DPP?
Do regulace budou spadat ty společnosti, které poskytují regulovanou službu či služby, a splní další podmínky uvedené v návrhu vyhlášky o regulovaných službách. U každé jednotlivé právně samostatné organizace je potřeba posoudit, zda splňuje podmínky pro zařazení do regulace. Právní forma organizace není podstatná. Pouhé vlastnictví HR systému není důvodem pro zařazení do regulace, stěžejní je, zda organizace poskytuje některou z regulovaných služeb.
Bude se vztahovat bezpečnost dodavatelského řetězce na Vodárenství?
Aktuální návrh s tím nepočítá. Prováděcí předpisy k zákonu však budou mít vlastní legislativní proces, ve kterém mohou doznat větších či menších změn.
Jak je definován významný incident, který je třeba hlásit v nižším režimu?
Pro nižší režim platí, že konkrétní kritéria (metriky) pro určení významnosti incidentu si stanoví sama povinná osoba na základě vodítek obsažených v prováděcím předpisu k zákonu.
Co si představit pod bezpečnostním incidentem, který se musí hlásit?
Jde o situaci, kdy dojde k narušení bezpečnosti informací (tedy jejich důvěrnosti, dostupnosti nebo integrity) zpracovávaných v informačních systémech organizace. Typicky půjde o případy neoprávněného přístupu do systému (neautorizovanou osobou), úniku dat (jejich krádeže, ale i neoprávněného zveřejnění), znepřístupnění dat (v důsledku zašifrování ransomwarem), přerušení poskytování regulované služby v důsledku neplánovaného výpadku informačního systému apod.
Kdy bude k dispozici Vyhláška o bezpečnostních opatřeních (nižší režim) a jak detailní bude?
Teze prováděcích předpisů k novému zákonu, včetně vyhlášek o bezpečnostních opatřeních, jsou k dispozici zde: https://www.psp.cz/sqw/text/tiskt.sqw?O=9&CT=759&CT1=0. Vyhlášky k zákonu jsou v tuto chvíli publikovány ve formě tezí a jejich text se ještě může změnit.
Všechny prováděcí předpisy budou mít vlastní legislativní proces, v rámci kterého bude možné se s jejich textem seznámit a sledovat průběh jejich přijímání.
Zahájení legislativního procesu očekáváme přibližně po ukončení druhého čtení návrhu zákona o kybernetické bezpečnosti v Poslanecké sněmovně. Účinnost zákona i jeho prováděcích předpisů pak předpokládáme od 1. 7. 2025.
Pokud my, jako dodavatel, budeme spadat do nižšího (nebo žádného) režimu, odběratel spadá do vyššího režimu, musíme se v rámci BDŘ řídit rozsahem vyššího režimu?
Vztah dodavatele a odběratele je pro účely zařazení do působnosti nového zákona o kybernetické bezpečnosti irelevantní. Regulována je vždy konkrétní společnost pro charakter služeb, které poskytuje (lhostejno komu je poskytuje). BDŘ se pak vztahuje na úzce vymezenou množinu subjektů, do které se většina regulovaných osob vůbec nedostane.
Pokud je společnost dodavatelem společnosti, která spadá do BDŘ, samo o sobě to pro nic neznamená. Lze však očekávat, že v rámci řízení dodavatelských vztahů ze strany odběratele služby (což je jedna ze zákonných povinností poskytovatelů regulovaných služeb) budou na dodavatele kladeny zvýšené nároky. Tyto nároky však budou na dodavatele kladeny v rámci smluvních ujednání, nikoli přímo ze zákona.
Obce s rozšířenou působností (nižší režim) provozuje metropolitní síť pro říiz.org – poskytuje internet, e-maily, webhosting, VoIP. Spadá stále do nižší regulace?
Aktuální návrh vyhlášky o regulovaných službách počítá s tím, že obce s rozšířenou působností (ORP) spadají do nižšího režimu pro výkon svěřených pravomocí. Pokud ORP poskytuje i jiné regulované služby, může být regulována i pro ně, a to klidně i ve vyšším režimu (podle konkrétních podmínek uvedených ve vyhlášce o regulovaných službách).
Většina kritérií je však vázána na velikost podniku, přičemž územní samosprávné celky se pro účely zákona za podnik nepovažují.
Jak stanovit požadavky na dodavatele v případě využití nadnárodních firem a jejich služeb, jako je např. MS AZURE atd.
Vždy je potřeba projít smluvní podmínky, za kterých velký dodavatel své služby poskytuje, provést hodnocení rizik, které jsou s jeho službami spojeny, a ve světle bezpečnostní strategie konkrétní společnosti stanovit, zda je možné některá identifikovaná rizika zmírnit jinými prostředky (např. dodatečnými opatřeními na straně odběratele), případně je akceptovat, pokud jiné řešení není přiměřené.
Pokud jsou podmínky poskytování služby konkrétního dodavatele v rozporu s bezpečnostními požadavky odběratele, je namístě zvážit využití jiného dodavatele.
Jak se prokazuje odborná způsobilost v kybernetické bezpečnosti?
Pokud dotaz míří na odbornou způsobilost, která je předpokladem pro výkon bezpečnostních rolí nebo účast ve výboru pro řízení kybernetické bezpečnosti, pak je potřeba jednak vycházet ze specifických požadavků uvedených v prováděcích předpisech (zejm. u bezpečnostních rolí), jednak z charakteru činnosti těchto osob. Role musí být vykonávána osobou, která je schopna plnit vše, co na ni zákon klade.
Konkrétní požadavky na odbornou způsobilost budou vycházet ze specifik jednotlivých organizací, jejich prostředí, úkolů, které jsou osobám svěřeny, očekáváné kvality výstupů apod.
Aktuálně platný zákon rozlišuje primární a podpůrná aktiva. Nový zákon rozlišuje primární, podpůrná a technická aktiva. Máme tedy rozlišovat všechny tři druhy?
Technická aktiva jsou stejně jako v současném zákoně součástí množiny podpůrných aktiv. Zákon, resp. vyhlášky, explicitně stanoví, na kterých místech je potřeba odlišovat technická aktiva od zbytku podpůrných aktiv.
Jsme poskytovatelem digitální služby, pokud vlastníme informační systém, prodáváme licence, ale provozuje to pro nás někdo třetí?
Obecně je poskytovatelem regulované služby ten, kdo službu poskytuje odběratelům. Tzn. pokud je vaše společnost tím, kdo poskytuje regulovanou službu zákazníkům, a tuto službu poskytujete pomocí informačního systému, který vám provozuje někdo jiný, je to stále vaše společnost, kdo je poskytovatelem regulované služby. Může se také stát, že váš provozovatel bude sám povinnou osobou – poskytovatelem regulované služby „řízená služba/řízená bezpečnostní služba“.
Jak moc se ještě bude zákon proměňovat? Opravdu ho má smysl studovat dopodrobna už teď? Oproti loňské verzi totiž došlo k mnoha změnám.
S ohledem na aktuální fázi legislativního procesu a skutečnost, že většina podstatných úprav byla provedena právě již v dřívějších verzích, lze očekávat, že znění zákona dozná v Poslanecké sněmovně pouze minimálních změn. Podstatná část textu zákona navíc reflektuje požadavky směrnice NIS2, od kterých se Česká republika nemůže odchýlit a které navazují na dobrou praxi a běžně užívané bezpečnostní standardy. Doporučujeme se tedy s jeho textem seznámit již nyní a začít se na jeho účinnost připravovat.
Vztahuje se akt o kybernetické odolnosti i na výrobu SW/aplikací?
Akt o kybernetické odolnosti se obecně vztahuje na HW i SW (s některými výjimkami).
Pokud je instituce již registrována z minulosti, je potřeba dělat novou registraci?
Ano, registrační povinnost se vztahuje i na dosud regulované subjekty. Důvodem je zejm. skutečnost, že nově může být vaše společnost regulována pro více služeb (nejen ty, pro které byla určena povinnou osobou podle současného zákona).
Nechte si poradit s kyberbezpečností
v souladu se ZoKB
Potřebujete spolehlivého partnera nebo odbornou konzultaci k NIS2 a ZoKB?
Pošlete nám své kontaktní údaje a naši experti se vám co nejdříve ozvou.