Zákon o kyberbezpečnosti platí nově pro více firem

Předloha přejímá evropskou směrnici, která má zajistit v Unii společnou úroveň bezpečnosti sítí a informačních systémů (směrnice uvádí konkrétní odvětví a jejich povinnost řídit se předpisy o kybernetické bezpečnosti). Česká republika se tak jako jeden z prvních unijní států zapojila do této iniciativy.
Novelizace zákona o kybernetické bezpečnosti (ZKB) se nyní vztahuje např. na poskytovatele služeb cloud computingu, definovaného zákonem tak, že „umožňuje přístup k rozšířitelnému a přizpůsobitelnému úložišti nebo výpočetním zdrojům, které je možné sdílet", což znamená, že kromě skutečných poskytovatelů cloudových služeb typu datacenter se vztahuje i na běžné poskytovatele webhostingu či předávání dat typu Úschovna, a do důsledku vzato i torrentové či peer-to-peer aplikace nebo vyhledávače. Zvýšené administrativní nároky přináší např. i e-shopům (v dikci zákona „elektronická tržiště"). Zákon dále ukládá poskytovatelům digitálních služeb mimo EU, kteří své služby poskytují i v ČR, aby si zde ustanovili odpovědného zástupce.
Nově zahrnuté skupiny subjektů budou muset přijmout odpovídající kroky, aby zabránily možným bezpečnostním rizikům. Přímý dopad bude mít nově legislativa spolu s dalším předpisem týkajícím se kyberprostoru a bezpečnosti údajů GDPR i pro firemní séru. Firmy a organizace, na které se zákon č. 181/2014 Sb. a jeho novelizace vztahuje, musejí zavést systém řízení bezpečnosti informací a rizik, řízení přístupu osob ke kritické informační infrastruktuře nebo k významnému informačnímu systému i zvládání kybernetických bezpečnostních incidentů. Vedle fyzického zabezpečení bylo nutné nasadit rovněž nástroje na ochranu integrity komunikačních sítí, ověřování identity uživatelů, řízení přístupových oprávnění a rovněž i ochranu před škodlivým kódem. Znamená to pro ně mj. i zřídit ve firemní hierarchii funkce pro splnění povinností vyžadovaných předpisy, jako např. manažera, architekta a auditora kybernetické bezpečnosti.
Jednou z klíčových povinností společností, jichž se novelizace týká, je monitorovat dění ve vlastní síti a informačních systémech, dokázat vyhodnotit bezpečnostní útoky a včas je oznámit. Zatímco nyní je v případě, že ve firmě dojde k odhalení útoku, častou praxí „zatloukat“ a nedat nic najevo, podle ZKB mají povinnost nahlásit každý bezpečnostní incident nově zřízenému Národnímu úřadu pro kybernetickou a informační bezpečnost sídlícímu v Brně. Za nesplnění hrozí poměrně drastické sankce - např. pokuta až 5 mil. Kč. Podobně k této oblasti přistupuje i další evropské nařízení o soukromí a právech fyzických osob z pohledu ochrany zpracování jejich osobních údajů (GDPR), vstupující v platnost od 25. 5. 2018, které rovněž obsahuje povinnost každý takový incident zaznamenat, a ty významnější pak nahlásit do 72 hodin. Na rozdíl od ZKB, kde jsou povinnosti a nutná opatření jasně legislativně vymezeny, je přístup GDPR založen na individuálním hodnocení rizik.