Jsme ADVOKÁTI se zaměřením na FIRMY.
Pomůžeme Vám se zorientovat ve změnách v oblasti kybernetické bezpečnosti, které přináší směrnice NIS2 a nový zákon o kybernetické bezpečnosti.
Kontaktujte nás:
Telefon: +420 721 798 745
Email: zeman@vozab.com
Koncem roku 2022 byla přijata směrnice Evropského parlamentu a Rady (EU) 2022/2555, která se zpravidla označuje jako směrnice NIS2. Jejím cílem je zvýšení úrovně kybernetické bezpečnosti v klíčových odvětvích státu. Mohlo by se tedy zdát, že směrnice nebude na běžný život menších a středních obchodních společností mít žádný velký dopad. Ve skutečnosti nic nemůže být dále pravdě, neboť dopad směrnice NIS2 bude naprosto zásadní, a to nejen pro osoby podnikající v těchto kritických odvětvích, ale i pro jejich smluvní partnery.
Směrnice NIS2 má být do českého právního řádu transponována nejpozději do 17. 10. 2024. Transpozice bude provedena přijetím nového zákona o kybernetické bezpečnosti, který má v dohledné době schvalovat vláda. Přestože nový zákon o kybernetické bezpečnosti ještě nebyl přijat a není známa jeho finální podoba, je již nyní možné zaobírat se změnami, které směrnice NIS2 a nový zákon o kybernetické bezpečnosti přinesou.
CO JE SMYSLEM SMĚRNICE NIS2?
Již aktuálně účinný zákon o kybernetické bezpečnosti (který bude v dohledné době zrušen a nahrazen zákonem novým) určité skupině zpravidla velkých společností podnikajících v kriticky důležitých odvětvích stanoví určité povinnosti v oblasti kybernetické bezpečnosti. Smyslem směrnice NIS2 a na ni navazující návrh nového zákona o kybernetické bezpečnosti je tento okruh osob rozšířit i na další, menší, osoby podnikající v určitých oblastech, které jsou pro fungování státu klíčové, respektive v oblastech, u nichž by únik dat nebo hackerský útok představoval značný problém pro velké množství osob.
JAKÁ ODVĚTVÍ JSOU REGULOVÁNA?
Odvětví, která směrnice NIS2 považuje za kriticky důležitá, jsou uvedena v přílohách č. I a č. II Směrnici NIS2, přičemž návrh zákona tento rozsah dále zpřesňuje. Mezi regulovaná odvětví má dle návrhu zákona patřit: veřejná správa, energetika, výrobní průmysl, potravinářský průmysl, chemický průmysl, vodní hospodářství, odpadové hospodářství, doprava, digitální infrastruktura a služby, finanční trh, zdravotnictví, věda, výzkum a vzdělávání, poštovní a kurýrní služby, vojenský průmysl a vesmírný průmysl. Ne všechny činnosti, které se týkají např. oblasti potravinářského průmyslu však budou považovány za regulované činnosti ve smyslu zákona. Konkrétní kritéria pro regulované služby náležejících do těchto odvětví by měl stanovit prováděcí právní předpis, a sice vyhláška Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB); rámci vyhlášky tak budou zpřesněny činnosti, které budou považovány za regulovanou činnost.
KOHO SE NOVÉ POVINNOSTI BUDOU TÝKAT?
Oproti aktuálnímu stavu se výrazně rozšiřuje okruh osob, kterým jsou ukládány povinnosti v oblasti kybernetické bezpečnosti. Směrnice NIS2, resp. návrh zákona, dopadá primárně na střední podniky, tj. podniky s 50 a více zaměstnanci a ročním obratem přes 10 milionů EUR, které současně vykonávají činnost v kterékoliv z výše uvedené regulované oblasti. – odkaz na definici středního podniku I pokud podnik nesplňuje definici středního podniku nebo pokud vykonává činnosti v jiných oblastech, přesto na něj mohou povinnosti dle směrnice NIS2, resp. zákona, dopadat. Je tomu tak zejména v případě, že podnik:
- a) Poskytuje služby poskytovateli veřejné sítě elektronických komunikací, poskytovateli služeb vytvářejících důvěru (např. kvalifikované elektronické podpisy) nebo poskytovateli registru domén nejvyšší úrovně (CZ.NIC z.s.p.o.);
- b) Je výhradním poskytovatelem služeb, jež mají zásadní dopad na zachování kritických společenských a hospodářských činností;
- c) Je kriticky důležitým pro určité odvětví vzhledem ke svému specifickému postavení na trhu;
- d) Narušení služby poskytované tímto podnikem by mohl mít významný dopad na veřejný pořádek, bezpečnost, zdraví nebo by mohlo mít významná systémová rizika.
Za regulovanou osobu se dále považují například profesní komory, vysoké školy či obce s rozšířenou působností.
POZOR, POVINNOSTI MOHOU DOPADNOUT I NA NEREGULOVANOU OSOBU
Některé povinnosti dle směrnice NIS2, resp zákona, mohou na třetí osobu dopadnout i zprostředkovaně tím, že své služby poskytuje regulované osobě. Regulovaná osoba je totiž dle směrnice NIS2 i návrhu zákona mimo jiné povinna přijmout opatření zohledňující případná rizika dodavatelského řetězce, tedy fakticky bude nucena po svých dodavatelích požadovat přijetí určitých opatření či převzetí smluvních povinností. Lze tedy očekávat, že dopad směrnice NIS2, resp. zákona, bude daleko širší, neboť fakticky se dotkne všech přímých (a pravděpodobně i nepřímých) dodavatelů regulovaných osob. Pokud tedy poskytujete své služby některé osobě, která bude považována za regulovanou osobu, určitě doporučujeme příchozí legislativu nepodcenit, a naopak se připravit na to, že v budoucnu budete pravděpodobně muset přijmout alespoň některá opatření směřující k minimalizaci kybernetických rizik. S ohledem na navržené přísné sankce za porušení povinností regulované osoby je totiž klidně možné, že regulovaná osoba nebude ochotna pokračovat v dalším čerpání služeb od jejího stávajícího dodavatele, pokud ten nebude poskytovat dostatečné záruky v oblasti kybernetické bezpečnosti.
REGULOVANÁ OSOBA JE POVINNA SE REGISTROVAT U NÚKIB
Každá osoba, která bude dle zákona považována za regulovanou osobu, bude povinna se registrovat u NÚKIB do evidence poskytovatelů regulovaných služeb, a to do 30 dnů ode dne, kdy se o své povinnosti registrace dozví, nejpozději do 90 dnů ode dne splnění pro registraci. Neprovedení registrace je přitom dle návrhu zákona sankcionováno pokutou až do výše 250 milionů Kč; i když uložení takto vysoké pokuty je prakticky nemyslitelné a zejména zpočátku se dá spíš předpokládat pokuta v řádech jednotek tisíců Kč, je přesto potřeba počítat s tím, že pokuta může být uložena. Otázku, zda je konkrétní osoba považována za regulovanou osobu nebo nikoliv, je proto potřeba vyřešit ideálně ještě předtím, než nový zákon nabyde účinnosti.
DVA REŽIMY POVINNOSTÍ
Návrh zákona pracuje se dvěma kategoriemi povinnosti, a to s tzv. režim vyšších povinností a režim nižších povinnosti. Konkrétní režim regulované osoby bude stanoven prováděcím právním předpisem – vyhláškou NÚKIB. Velmi zjednodušeně lze říci, osoby, které mají v rámci jednotlivých odvětví významné postavení (ať již s ohledem na svou velikost či funkci atp.) budou podléhat režimu vyšších povinností, a zbývající osoby budou podléhat režimu nižších povinností.
JAKÁ KONKRÉTNÍ OPATŘENÍ JE POTŘEBA PŘIJMOUT?
Rozsah povinností je opět stanoven vyhláškou NÚKIB. Vzhledem k tomu, že výčet povinností je velmi rozsáhlý, není dost dobře možné jednotlivé povinnosti v rámci tohoto článku blíže rozebrat, nad to to ani není účelem tohoto článku. Obecně lze říct, že opatření jsou dvojího typu, a sice organizační a technická. Návrh zákona na jedné straně ukládá povinnosti ve vztahu k řízení bezpečnosti informací a interních procesů, řízení rizik, kontrole dodavatelských řetězců, bezpečnosti lidských zdrojů, zvládání kybernetických událostí, pravidelného auditu bezpečnosti atp., a na druhé straně ukládá povinnosti i ve vztahu k fyzické ochraně informací, dat a komunikačních sítí, k ověřování identit, správy a tvorby hesel, používání antivirových programů, zaznamenávání a řešení kybernetických útoků atp. Jde tedy o pestrou škálu různých povinností. Návrh zákona přitom povinnosti ukládá nejen regulované osobě jako takové, ale i jejímu vrcholnému vedení, tj. obvykle členům statuárních orgánů, kteří jsou např. povinni pravidelně se účastnit školení o kybernetických rizicích, zajistit zavedení organizačních opatření a pravidelně sledovat kybernetická rizika, analyzovat je a dle potřeby přijímat potřebná opatření. Správné nastavení a plnění opatření je tedy zjevně i v zájmu
Kontaktujte nás:
Telefon: +420 721 798 745
Email: zeman@vozab.com
Vystudoval Právnickou fakultu University Karlovy v Praze (1997–2002), kde rovněž později obhájil rigorózní práci na téma Ochranná známka Společenství a byl mu udělen titul JUDr. (2006). Následně pokračoval v postgraduálních studiích na Fakultě mezinárodních vztahů Vysoké školy ekonomické v Praze (2005–2012) v oboru Obchodní a mezinárodní hospodářské právo, kde obhájil doktorskou disertační práci na téma Nezapsaná označení zboží a služeb užívaná v obchodě a získal titul Ph.D. (2012). V minulosti pracoval v Advokátní kanceláři Nipl, Žák, Slavíček, Jaroš & spol. jako advokátní koncipient (2002–2005) a následně jako advokát (2005–2011). Od srpna 2011 je řídícím partnerem advokátní kanceláře Vozáb & Co. Právní služby poskytuje v českém a anglickém jazyce a věnuje se zejména obchodnímu právu, právu duševního vlastnictví, zdravotnictví a nemovitostí a vymáhání souvisejících nároků ve sporných řízeních.
Vyštudoval Právnickú fakultu Masarykovej univerzity v Brne (2008–2013), kde v priebehu štúdia absolvoval niekoľko stáží (august 2009 – august 2012). Po ukončení štúdia pracoval ako advokátsky koncipient spolupracujúci s advokátskou kanceláriou JUDr. Miroslava Tyrnera (2013–2017) a s advokátskou kanceláriou Vozáb & Co.(2016–2017), kde od augusta 2017 pôsobí ako trvalo spolupracujúci advokát. Právne služby poskytuje v slovenskom, českom a anglickom jazyku. Venuje sa najmä obchodnému právu, občianskemu právu, oblasti e-commerce a vymáhaniu súvisiacich nárokov.
Vystudovala Obchodní akademii (1990–1994) a po ukončení studií pracovala pro takové společnosti jako 3M ČESKO (1999–2001), PHILIPS Česká republika (2001–2004), iGATE (2012–2018) a JOKA AUDIT (2018–2022). V roce 2022 nastoupila do advokátní kanceláře Vozáb & Co. na pozici asistentky. Markéta hovoří česky a anglicky a má na starosti kompletní administrativní zázemí kanceláře.
Vystudovala Provozně-ekonomickou fakultu Mendelovy univerzity v Brně (2007–2011), přičemž v rámci studií získala pracovní zkušenosti výkonem pomocných účetních a administrativních prací pro Novoměstské sociální služby – Nové Město na Moravě. Po ukončení studií nastoupila do advokátní kanceláře Vozáb & Co. na pozici asistentky. Lenka hovoří česky a anglicky a má na starosti kompletní administrativní zázemí kanceláře.
Vystudoval Vysokou školu ekonomickou v Praze (1995–2000) a Právnickou fakultu University Karlovy v Praze (2005–2010), kde rovněž později obhájil rigorózní práci na téma Územní plánování obcí a jeho vliv na životní prostředí a byl mu udělen titul JUDr. (2015). Dále získal členství v celosvětové organizaci Association of Chartered Certified Accountants (ACCA) udělující titul FCCA a složil zkoušky v oblasti řízení podniku a finančního výkaznictví pro mezinárodní účetní standardy (2000–2004). V minulosti pracoval v oddělení auditu pro Arthur Andersen (2000–2004), Ernst & Young (2002–2004) a jako finanční ředitel společnosti Canon (2004–2005). Od roku 2005 pracuje jako daňový poradce a advokát a trvale spolupracuje s advokátní kanceláří Vozáb & Co. Daňové poradenství a právní služby poskytuje v českém a anglickém jazyce a kromě oblasti daní a účetnictví se věnuje zejména obchodnímu právu, právu nemovitostí, stavebnímu právu a zastupování v řízení podle stavebního zákona.
Vystudovala Právnickou fakultu Masarykovy University v Brně (2010–2015), kde v průběhu studia absolvovala praxi v několika advokátních kancelářích a také u Okresního soudu ve Vsetíně (2014). Po ukončení studií nastoupila do advokátní kanceláře Vozáb & Co., kde v minulosti pracovala jako advokátní koncipientka (2015–2019) a kde od července 2019 působí jako trvale spolupracující advokátka. Právní služby poskytuje v českém a anglickém jazyce a věnuje se zejména obchodnímu právu, právu nemovitostí a vymáhání souvisejících nároků.
Vystudoval Právnickou fakultu University Karlovy v Praze (2007–2013), kde v průběhu studia absolvoval praxi u Exekutorského úřadu pro Prahu 3 (březen 2010 – srpen 2011). Po ukončení studií nastoupil do advokátní kanceláře Vozáb & Co., kde v minulosti pracoval jako advokátní koncipient (2013–2016) a kde od října 2016 působí jako trvale spolupracující advokát. Právní služby poskytuje v českém a anglickém jazyce a věnuje se zejména obchodnímu právu, právu nemovitostí a vymáhání souvisejících nároků.
Vystudovala Právnickou fakultu University Karlovy v Praze (2003–2008), kde absolvovala studijní stáž na civilněprávním a trestněprávním úseku Obvodního Soudu pro Prahu 5 (září 2006 – květen 2007). Ve studiích pokračovala ve Velké Británii, kde vystudovala obor International and European Law na University of Aberdeen (2010–2011) a byl jí udělen titul LL.M. Po ukončení studií nastoupila do advokátní kanceláře Vozáb & Co., kde v minulosti pracovala jako advokátní koncipientka (2011–2015) a kde od října 2015 působí jako trvale spolupracující advokátka. V rámci postgraduálního studia na Právnické fakultě University Karlovy v Praze obhájila rigorózní práci v oblasti mezinárodního práva soukromého a byl jí udělen titul JUDr. (2014). Právní služby poskytuje v českém, anglickém, slovenském a polském jazyce a věnuje se zejména obchodnímu právu, pracovnímu právu a dále oblasti nemovitostí.
Vystudovala Právnickou fakultu University Karlovy v Praze (2005–2011), kde absolvovala studijní stáž na právnické fakultě Universidad de Zaragoza, Španělsko (2009–2010) a studijní stáž na občanskoprávním úseku Obvodního soudu pro Prahu 9 (březen – květen 2009). Po ukončení studií nastoupila do advokátní kanceláře Vozáb & Co., kde v minulosti pracovala jako advokátní koncipient (2011–2015) a kde od března 2015 působí jako trvale spolupracující advokátka. V rámci postgraduálního studia na Právnické fakultě University Karlovy v Praze obhájila rigorózní práci na téma předběžná opatření soudu a byl jí udělen titul JUDr. (2016). Právní služby poskytuje v českém, anglickém a španělském jazyce a věnuje se zejména obchodnímu a pracovnímu právu a dále oblasti duševního vlastnictví a vymáhání souvisejících nároků.