Poslanecká sněmovna schválila zákon o kybernetické bezpečnosti. Nové požadavky na bezpečnostní opatření dopadnou také na energetický sektor.

Po jednomyslném odsouhlasení návrhu zákona se nepředpokládá odpor ani v Senátu a zákon tak pravděpodobně vstoupí v účinnost v původním NÚKIB navrhovaném termínu 1. 7. 2025. Ode dne účinnosti začne regulovaným subjektům běžet lhůta 60 dní pro registraci u NÚKIB. V návaznosti na registraci bude nutné do 1 roku zavést předepsaná technická a organizační opatření. „Provozovatelům FVE, bateriových úložišť, agregátorům flexibility i dalším účastníkům trhu s elektřinou, plynem a teplem začal běžet čas pro podrobné seznámení se s povinnostmi, které na ně nový zákon bude klást,“ říká Luděk Šikola z advokátní kanceláře Doucha Šikola advokáti.

Na koho se nový zákon vztahuje

Návrh nového zákona o kybernetické bezpečnosti dopadne na některé poskytovatele tzv. regulovaných služeb ve stanovených sektorech – jedná se např. o veřejnou správu, energetiku, významná průmyslová odvětví (potravinářství, obranný či chemický průmysl), vodní a odpadové hospodářství, dopravu, digitální infrastrukturu, zdravotnictví a další. 

Nová právní úprava podstatně rozšiřuje okruh subjektů, na které se povinnosti v oblasti kyberbezpečnosti vztahují, a to včetně oblasti energetiky, kde nově zavádí povinnosti mj. pro provozovatele solárních elektráren (a jiných výroben elektřiny z obnovitelných zdrojů) s instalovaným výkonem nad 50 kW, dále pro agregátory, provozovatele bateriových úložišť a celou řadu dalších subjektů vykonávajících činnosti v energetickém sektoru. 

Primárně se zákon vztahuje na velké a střední podniky (ve smyslu příslušného doporučení Evropské komise), ale s ohledem na řadu dodatečných kritérií může zákon v některých případech dopadnout na podniky bez ohledu na jejich velikost.

Jaké jsou požadavky nové právní úpravy

Každý subjekt, který poskytuje regulovanou službu, je povinen tuto službu ohlásit do 60 dnů Národnímu úřadu pro kybernetickou bezpečnost (NÚKIB), ten následně ohlášenou službu a jejího provozovatele zaregistruje.

Zákon řadí subjekty pod některý ze dvou režimů: režim vyšších povinností a režim nižších povinností. Pro každý režim jsou stanoveny specifické povinnosti a kategorie bezpečnostních opatření, která jsou dále blíže popsána v prováděcích vyhláškách k zákonu. Na zavedení opatření mají subjekty 1 rok od data registrace u NÚKIB.

Plnění opatření podle ZoKB bude pro regulované subjekty znamenat řadu vnitřních analýz, hodnocení rizik, vypracování bezpečností politiky a související dokumentace, školení osob, zavádění nových procesů a lze očekávat, že bude pro řadu subjektů spojeno s náročnou administrativou a značnými náklady.

V rámci plnění povinností dle zákona bude nutné učinit též stanovená opatření ve vztahu k dodavatelům, což může zahrnovat úpravu dodavatelských smluv, ale v některých specifických případech může dojít i k významnějším zásahům do vztahů s dodavateli, kdy může NÚKIB zakázat nebo omezit využití plnění některých konkrétních dodavatelů (týká se to však jen bezpečnostně významných dodávek).

Mezi další povinnosti podle zákona patří např. hlášení incidentů, provádění reaktivních protiopatření, u strategicky významných služeb též prověřování bezpečnosti dodavatelského řetězce aj.

Dodáváme, že zákon stanoví za porušení povinností pokuty, které mohou dosahovat v závislosti na závažnosti přestupku desítek až stovek milionů korun. Vedle pokut je možné za některé konkrétní přestupky uložit i nepeněžité sankce (pozastavení platnosti certifikace, dočasný zákaz funkce člena statutárního orgánu).

Všem subjektům, které působí v zákonem stanovených sektorech, lze doporučit, aby sledovaly informace o chystané právní úpravě a prověřily, nakolik se jich nová regulace bude týkat. V souvislosti s regulací v oblasti kyberbezpečnosti může být výhodné využít jak právního poradenství, tak i služeb specializovaných konzultantů v oblasti kyberbezpečnosti.