V dnešní době, kdy se stále více procesů přesouvá do digitálního světa, je kybernetická bezpečnost klíčová pro ochranu citlivých dat a udržení důvěry zákazníků. V roce 2022 přijala Evropská unie směrnici NIS2, která aktualizuje a zpřísňuje pravidla pro zajištění kybernetické bezpečnosti. Směrnice NIS2 bude implementována do českého právního řádu novým zákonem o kybernetické bezpečnosti. Jaké sankce tedy hrozí českým firmám, pokud nesplní požadavky nové legislativy?

Podle dostupných informací od Národního úřadu pro kybernetickou a informační bezpečnost (NUKIB) jsou sankce za porušení NIS2 v České republice nejen vysoké, ale také mají odstrašující účinek. Mluvíme o částkách, které mohou dosáhnout až desítek milionů korun, a to nejen jako pokuty, ale i jako náhrada za způsobené škody.

Možné sankce podle návrhu zákona

V případě porušení nových předpisů se firmy v České republice mohou setkat s významnými sankcemi. Podle informací z webu NÚKIBu mohou být sankce za neplnění povinností stanovených v zákoně o kybernetické bezpečnosti velmi přísné.

Nejzávažnější sankcí může být pozastavení výkonu funkce pro statutární orgány nebo jiné odpovědné osoby na dobu nejméně šesti měsíců. To by mohlo vést k paralýze řízení společnosti a značným komplikacím v jejím fungování.

Další vážné sankce zahrnují finanční pokuty pro společnost, které mohou dosáhnout až do výše 10 milionů korun nebo 2% z celosvětového obratu za předchozí účetní období, v závislosti na tom, která z těchto hodnot je vyšší. Výše pokuty závisí na závažnosti a dopadu porušení předpisů. Tyto pokuty jsou určeny tak, aby odrazovaly od laxního přístupu k dodržování kybernetické bezpečnosti.

Peněžité tresty nejsou jediné, čeho by se firmy měly obávat. Představte si reputační škody, které mohou vzniknout, když se o neochotě či neschopnosti dodržet pravidla dozví zákazníci. Důvěra je v digitálním světě klíčová a jednou ztracená se jen těžko získává zpět.

Jak splnit požadavky směrnice NIS2 aneb jak se vyhnout sankcím?

Především je důležité pochopit, že "upapírování" shody s novou směrnicí není cestou. Není to jen o zaškrtávání políček a vyplňování formulářů. Skutečná bezpečnost začíná pochopením rizik a implementací efektivních opatření na míru a potřeb společnosti.

Firmy by měly začít interním nezávislým hodnocením zabezpečení svých systémů a procesů. Tento krok je jako prohlídka pevnosti, kde se každý kámen obrátí, aby se našly všechny slabiny. Proto je doporučeno přizvat k posouzení nezávislou externí společnost, která má odborné znalosti a nezaujatý pohled, jež umožní odhalit skryté nedostatky, na které interní tým může být slepý. Následně je potřeba vytvořit plán zabezpečení, který bude obsahovat nejen technologická opatření, jako jsou firewally, antiviry a šifrování dat, ale také organizační změny, jako jsou školení zaměstnanců a vytvoření týmu pro reakci na incidenty.

Kybernetická bezpečnost by měla být považována za neustálý proces, nikoli za jednorázový projekt. To znamená, že je třeba pravidelně aktualizovat a testovat bezpečnostní opatření, stejně jako pravidelně školit zaměstnance, aby byli vždy připraveni čelit novým hrozbám.

V neposlední řadě je důležité mít plán na řešení incidentů. I ta nejpevnější pevnost může být prolomena a je klíčové mít připravený plán, jak situaci řešit. To zahrnuje nejen technické kroky k obnovení systémů, ale také komunikační strategii s klienty a partnery.

Závěr

Ve zkratce, sankce za porušení NIS2 mohou být pro firmy v České republice drtivé, jak z finančního, tak z reputačního hlediska. Klíčem k vyhnutí se těmto sankcím je proaktivní přístup ke kybernetické bezpečnosti, který zahrnuje důkladnou přípravu, pravidelné školení a neustálou bdělost. Zabezpečení informačních systémů a infrastruktury by mělo být vnímáno jako nezbytná investice do stabilní a bezpečné budoucnosti podnikání v digitálním světě.

Konzultace k NIS2 zdarma

NIS2 konzultace ZDARMA

V rámci 30minutové konzultace zdarma probereme v NIS2 to, co vás zajímá a s čím potřebujete pomoct. Neutápějte se v něčem, s čím si nevíte rady a raději nás kontaktujte.