9
Stanovení rozsahu řízení kybernetické bezpečnosti
Mgr. Mgr. Radana Burešová
Hlavním smyslem nové právní úpravy v oblasti kybernetické bezpečnosti vycházející ze směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 (NIS 2) je proaktivní přístup spočívající v zavedení opatření k řízení kybernetických bezpečnostních rizik.
Jak je uvedeno v důvodové zprávě k českému zákonu č. 264/2025 Sb., o kybernetické bezpečnosti (dále jen "ZKYB"), český zákonodárce v úmyslu "v praxi zjednodušit" zavádění těchto opatření nad rámec NIS 2 vyžaduje, aby povinné subjekty poskytující regulované služby nejprve stanovily "rozsah řízení kybernetické bezpečnosti" (dále jen "rozsah"), aby tak samy zjistily, co vlastně mají řídit a jaká opatření musí přijmout.
Za tímto účelem se v § 12 ZKYB zavádí příslušná povinnost. V případě, že ji povinný subjekt nesplní a rozsah nestanoví, platí nevyvratitelná právní domněnka, že součástí rozsahu jsou všechna dosud neposouzená a neurčená aktiva (§ 12 odst. 4 ZKYB). Uvedené se týká jednak případů, kdy rozsah zatím vůbec nebyl stanoven (např. u subjektů, na které se nevztahoval dřívější zákon o kybernetické bezpečnosti, ale zákon se na ně vztahuje), nebo případů nabytí nových aktiv. Proto také zákon výslovně ukládá povinnost stanovený rozsah pravidelně přezkoumávat a aktualizovat (§ 12 odst. 5 ZKYB).
Co je třeba rozumět slovem "pravidelně", není blíže stanoveno, nicméně je vhodné tento interval blíže specifikovat v interních předpisech/metodikách, a to v zásadě v závislosti na potřebě přezkumu/aktualizace u jednotlivých aktiv.
Je proto v zájmu povinných subjektů rozsah co nejdříve stanovit, aby ho tak popřípadě zúžily. Nicméně se očekává, že u většiny regulovaných subjektů bude stanovený rozsah i tak odpovídat celému podniku, tj. veškerým jeho aktivům, protože podniky obvykle provádějí jen činnosti, které jsou nezbytné pro (regulované) služby, které poskytují. Podstatné zúžení rozsahu řízení kybernetické bezpečnosti oproti výchozímu stavu (viz zákonná domněnka) lze v zásadě předpokládat jen tehdy, pokud povinný subjekt kromě regulované služby provozuje ještě jiné činnosti, které s ní nesouvisejí.
Stanovení rozsahu se však de facto nevyhnou ani povinné subjekty, které bez dalšího dospějí k závěru, že do jejich rozsahu řízení kybernetické bezpečnosti spadá celý podnik. I tak budou muset provést minimálně určení aktiv, jejich vymezení a hodnocení, a to s ohledem na povinnosti povinných subjektů, které jim v souvislosti s aktivy stanoví prováděcí vyhlášky, a to vyhláška č. 409/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností, a vyhláška č. 410/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností, byť povinnosti povinných subjektů v režimu nižších povinností jsou v tomto ohledu ve srovnání s povinnostmi povinných subjektů v režimu vyšších povinností minimální (viz níže).
Povinnost stanovit rozsah je splněna teprve jeho řádným zdokumentováním (zaevidováním).
Stanovení rozsahu se provádí ve třech, resp. čtyřech krocích (§ 12 odst. 2 ZKYB):
0. nejprve se určí aktiva,
1. poté se vymezí všechna primární aktiva,
2. následně se posoudí, zda primární aktiva souvisejí s poskytováním regulované služby, a
3. nakonec se u primárních aktiv souvisejících s poskytováním regulované služby určí podpůrná aktiva.
Aktivem ve smyslu zákona je obecně fyzický nebo digitální prostředek, osoba nebo činnost související se zpracováváním informací a dat v elektronické podobě. V rámci aktiv se vymezují primární, podpůrná a technická aktiva. Primárními aktivy se podle zákona rozumí aktiva v podobě zpracovávané informace nebo poskytované služby. Podpůrné aktivum je aktivum zajišťující fungování primárních aktiv, zejména zaměstnanec, dodavatel, technické aktivum, budova a jiný ohraničený prostor, ve kterém se nachází aktivum regulované služby. Konečně technickým aktivem se rozumí technický nebo programový prostředek anebo vybavení.
NahoruKroky 0, 1 a 2
Nejprve je třeba určit aktiva daného podniku. Není třeba přesně identifikovat např. jednotlivé dokumenty nebo konkrétní pracovníky. Nicméně aktiva je třeba vymezit natolik…
