Více k tomuto tématu nám přináší Tomáš Kubíček, partner společnosti BDO a vedoucí poradenství v oblasti kybernetické bezpečnosti.
„Okruh regulovaných subjektů se výrazně rozšíří z přibližně 400 na odhadem 6 000 až 10 000 organizací,“ uvádí Kubíček z poradenské společnosti BDO. „Na změny by se neměly připravovat pouze firmy přímo spadající do klíčových odvětví, ale i jejich dodavatelé, partneři a technologičtí poskytovatelé. Celý ekosystém bude nově posuzován komplexně,“ doplňuje Tomáš Kubíček.
Nový zákon zavádí povinnost nejen pro velké hráče v energetice, zdravotnictví, dopravě, ICT službách, potravinářství či veřejné správě, ale i pro střední a menší firmy, pokud jsou součástí širší skupiny nebo působí jako klíčoví dodavatelé.
Firmy nyní čekají náročné úkoly: od technických opatření až po školení zaměstnanců
Podle Tomáše Kubíčka budou firmy muset zavést komplexní soubor bezpečnostních opatření – technických i organizačních. „Jedná se o zavedení technologií na ochranu sítí a dat, tvorbu interní dokumentace, školení zaměstnanců či definování bezpečnostních rolí a procesů řízení incidentů. Klíčové je také hlášení kybernetických incidentů Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) do 24 hodin,“ popisuje Tomáš Kubíček. „Zároveň bude nutné mít připravené krizové scénáře a plány obnovy provozu. Bez nich se firmy v případě incidentu vystavují vysokému riziku provozní paralýzy.“
Firmy se budou muset rovněž registrovat u NÚKIB a absolvovat pravidelné audity bezpečnosti. Včasná příprava tak bude klíčem k bezproblémovému přechodu na novou legislativu.
Investice místo nákladů: bezpečnost jako nutná součást podnikání
Odhady nákladů na dosažení souladu se zákonem se různí podle velikosti a připravenosti jednotlivých subjektů. „U menších a středních podniků odhadujeme jednorázové náklady na několik set tisíc korun, v některých případech až na jednotky milionů. K tomu se přičítají průběžné výdaje na udržování bezpečnostních opatření a školení,“ konstatuje Tomáš Kubíček.
Jak zdůrazňuje, nejde však pouze o splnění regulace, ale o ochranu samotného fungování firem v době narůstajících kybernetických hrozeb.
„Z dlouhodobého hlediska jde o investici do ochrany firemního know-how, obchodních dat i důvěry zákazníků. V digitálním světě je kybernetická bezpečnost obdobou bezpečnostních zámků a pojištění v klasickém světě,“ vysvětluje Tomáš Kubíček.
Rizika nesplnění: pokuty i pozastavení činnosti
Firmy, které novým požadavkům nevyhoví, riskují nejen kybernetické útoky, ale i významné finanční sankce. „Pokuty mohou u subjektů s vyššími povinnostmi dosáhnout až 250 milionů korun nebo 2 % ročního celosvětového obratu. V mírnějším režimu se mohou vyšplhat na 175 milionů korun. V krajních případech hrozí i pozastavení činnosti firmy až na šest měsíců,“ upozorňuje Kubíček.
Zákon navíc umožňuje uvalit pořádkové pokuty až do výše 10 milionů korun, a to i opakovaně, pokud firma neplní své povinnosti. „Nejde tedy jen o formální hrozbu, ale o reálné nástroje, které stát může proti firmám využít,“ připomíná Tomáš Kubíček.
Vedle finančních ztrát je zde i hrozba poškození reputace a ztráty důvěry klientů, což může být pro mnoho podniků fatální.
„Firmám doporučujeme začít s přípravami co nejdříve, protože kyberbezpečnostní odborníci a potřebné technologie budou kvůli skokovému nárůstu poptávky na trhu postupně nedostupné. Kdo bude reagovat pozdě, riskuje nejen komplikace s plněním povinností, ale i vyšší ceny služeb,“ varuje Tomáš Kubíček.
Zákon nyní putuje do Senátu a poté za prezidentem. Pokud tímto legislativním procesem projde bez komplikací, měl by nabýt účinnosti v červenci 2025.
Zdroj: BDO
