V předchozím díle seriálu Regulace podle NIS2 jsme si rozdělili povinné subjekty, na které nejpozději příští rok v říjnu dopadne regulace otázek kybernetické bezpečnosti podle směrnice NIS2. Proč to v tuto chvíli nelze určit přesněji? Nový zákon o kybernetické bezpečnosti, který směrnice NIS2 zavádí do českého práva, je teprve na začátku své legislativní pouti, momentálně prochází meziresortním připomínkovým řízením.
Lhůta na uplatnění připomínek končí 19. července a došlé podněty se následně objeví v eKlepu. Teprve výsledná podoba připravovaného zákona určí, ke kterému okamžiku k transpozici směrnice dojde a v jaké podobě. Rozhodně se tedy vyplatí nepouštět průběh projednávání kybernetického zákona ze zřetele a sledovat, jaké pozměňovací návrhy se k němu časem objeví. Netřeba mít strach, cestu zákona oběma komorami pohlídáme za vás a o všech podstatných změnách se na Lupě dočtete.
Regulace dopadne i na subdodavatele
Než se posuneme dál, doplníme výklad z minulého dílu o několik důležitých pravidel. Víme už, že pro určení, zda soukromá nebo veřejná organizace spadá pod regulaci směrnice, záleží na současném splnění dvou kritérií: jednak je to kritérium podle poskytované služby (spadá pod jednu ze dvou příloh NIS2) a jednak kritérium velikosti podniku, kdy zbystřit musejí hlavně střední a velké podniky.
V diskusi pod minulým dílem se objevil dotaz, jak toto posouzení dopadne na subdodavatele. U poskytovatelů regulovaných služeb v režimu vyšších povinností (essential) mají tyto podniky povinnost přijmout organizační opatření týkající se řízení dodavatelů. „Povinnosti plynoucí z NIS2 tedy mohou dopadnout i na subdodavatele, když požadavky na jejich splnění nebudou považovány za omezení hospodářské soutěže,“ upozorňuje advokátka Lucie Balýová z advokátní kanceláře Žižlavský a dodává: „V některých případech dokonce bude možné na základě právních předpisů zakázat plnění prostřednictvím subdodavatele.“
Účelové vytvoření dceřiné společnosti novým povinnostem nezabrání
Zajisté už také leckoho mohlo napadnout se regulaci vyhnout tím, že část aktivit bude vyčleněna do samostatné entity. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) si je našincům vlastní snahy vymýšlet způsoby, jak zmírnit dopady pravidel, dobře vědom, a proto dopředu upozorňuje, že velikost organizace ve spojení se službou je sice primárním způsobem určení povinného subjektu, ale není jediným.
Speciální pozornost při posuzování velikosti podniku je podle NÚKIBu potřeba věnovat přičítání velikosti dalších organizací k velikosti posuzované organizace, a to v případě tzv. partnerských nebo propojených podniků. „Především v případě koncernového řízení to může v praxi znamenat, že dceřiná společnost, která by sama o sobě byla velikostí malým podnikem, bude při připočtení velikosti mateřské společnosti například středním nebo velkým podnikem,“ upozorňuje úřad s tím, že zároveň vydal metodickou pomůcku k posuzování velikosti podniků.
Z ní vyplývá, že v klidu mohou zůstat podniky vlastněné z méně než čtvrtiny jiným podnikem. Jejich údaje se nepřičítají. Naopak u 25 % až poloviny kapitálu se údaje za tento podnik přičítají ve výši procentuálního vlastnického podílu. Tedy kupříkladu u podniku (A) vlastněného ze 40 % jiným podnikem (B) se do určení velikosti podniku pro účely regulace započte 100 % zaměstnanců a ročního obratu podniku A a 40 % téhož u podniku B. Konečně u základního kapitálu nebo hlasovacího práva nad 50 % už mluvíme o rozhodujícím vlivu v jiném podniku. Jedná se o spojený podnik, kdy se jeho údaje k posuzovanému podniku přičítají v plné výši bez ohledu na to, jaký je procentuální vlastnický podíl.
Situace bude zajímavá v případě, kdy bude vlastnická struktura košatější a vlastníkem posuzované entity nebude jeden, ale hned několik provázaných společností, anebo dokonce bude sám posuzovaný podnik mít vlastnický podíl v některém dalším. Pak se pravidlo uvedené v předchozím odstavci uplatní na každý článek řetězce, a to směrem k „matce“ i k „dceři“. Jestliže posuzovaný podnik (A) je ze 40 % vlastněn podnikem (B) a současně sám vlastní 30 % podniku ©, bude se mu pro posouzení velikosti započítávat údaje ze 100 % za (A) + 40 % (B) + 30 % ©. Ještě o něco přísněji bude posuzována situace, kdy hlavní podnik ovládá (má většinu) v několika dceřiných firmách a ty pak společně vlastní posuzovanou firmu. I když každá z těchto „dceřinek“ v ní bude mít například jen 20 % podíl a mohlo by se zdát, že jde o samostatný podnik, toto zdání klame. Dceřiné firmy budou vzájemnými spojenci, a do výsledků se tak započítá 100 % údajů za celou skupinu.
U holdingů se tak sice pro kritérium velikosti budou počítat hodnoty celé skupiny, ale povinnosti budou uloženy pouze tomu subjektu, který poskytuje plnění spadající pod NIS2. „Vyčleněním některých aktivit do samostatného podniku se tak sice nevyhneme posouzení kritéria velikosti, ale můžeme tím ovlivnit osobu, na kterou budou přímé povinnosti podle předpisů dopadat,“ zmiňuje možnost optimalizace dopadů NIS2 advokátka Balýová.
Nezapomínejme přitom na to, že některé vyjmenované služby spadnou pod regulaci bez ohledu na to, jak veliké jsou poskytující organizace. NIS2 vyjmenovává poskytovatele služeb elektronických komunikací (veřejných), poskytovatele služeb vytvářejících důvěru nebo poskytovatele služeb DNS. Navíc NIS2 dává členským státům do rukou pravomoc využít dodatečných kritérií a vztáhnout regulaci i na organizace poskytující vyjmenované služby bez ohledu na velikost.
Bude se tak dít například v případě, kdy:
- jde o výhradní poskytovatele služby, která má zásadní význam pro zachování kritických společenských nebo hospodářských činností,
- narušení jejich služby by mohlo mít významný dopad na veřejný pořádek, veřejnou bezpečnost nebo ochranu zdraví,
- narušení jejich služby by mohlo vyvolat významné systémové riziko, zvláště s přeshraničním dopadem.
Definice směrnice NIS2 stran regulovaných osob jsou pro českou právní úpravu minimem. Budoucí povinné osoby mají být podrobně definovány vyhláškou o regulovaných službách.
Identifikujte se, nebo rozhodne NÚKIB
Návrhu vnitrostátní úpravy regulace kybernetické bezpečnosti se budeme věnovat podrobně v samostatném díle tohoto seriálu. Protentokrát si vystačíme s konstatováním, že návrh pracuje s jediným typem povinné osoby, a tou je tzv. poskytovatel regulované služby. Tím je kdokoliv, kdo poskytuje alespoň jednu regulovanou službu, tedy službu, jejíž narušení by mohlo mít významný dopad na zabezpečení důležitých společenských nebo ekonomických činností. Pro stanovení regulované služby se použije dvojice kritérií: kritéria pro identifikaci regulované služby a kritéria pro určení regulované služby.
Rozdíl mezi těmito kritérii je ryze praktický. V případě identifikačních kritérií se počítá s takzvanou samoidentifikací. Organizace si tedy sama posoudí naplnění kritérií, a pokud jsou splněna, sama provede povinnou registraci u NÚKIBu. U určovacích kritérií povede NÚKIB napřed správní řízení, ve kterém zhodnotí, jestli k naplnění těchto kritérií došlo, nebo ne, a podle toho rozhodne.
Toto zkoumání, ať už první, nebo druhou popsanou cestou, vyústí v provedení registrace. Jejím smyslem je informovat regulátora o tom, že organizace naplňuje stanovená kritéria. Po registraci následuje zápis do evidence poskytovatelů regulované služby. Teprve doručením vyrozumění od NÚKIBu o tomto zápisu začínají poskytovateli regulované služby běžet zákonné lhůty pro splnění dalších povinností.
A jak je to se lhůtami k registraci? Jsou dvě a vzájemně se doplňují. První je objektivní, 90denní, od okamžiku, kdy bude kritérium naplněno (ať už účinností nového zákona, nebo kdykoliv v budoucnu, pokud organizace začne poskytovat některou z regulovaných služeb, případně překročí kritérium velikosti podniku). Druhá je subjektivní, 30denní, od okamžiku, kdy subjekt zjistí, že kritéria naplnil.
Jinými slovy, když NÚKIB rozhodne, že se jedná o poskytovatele regulované služby, nebo když k tomu samému závěru dojde podnik na základě samoidentifikace, běží 30 dnů na registraci. Pokud to z jakéhokoliv důvodu nezjistí (ač by měl), po 90 dnech lhůtu překročí a vystaví se sankcím.
NÚKIB slibuje, že bude spolupracovat s odvětvovými regulátory, sám vyhledávat informace o poskytovatelích regulované služby a tyto podniky proaktivně upozorňovat na potřebu registrace. Jedním dechem ale dodává, že tím není nahrazena povinnost podniku se sám registrovat, pokud identifikační kritéria naplní.
Máme-li jasno, na koho povinnosti dopadnou, podíváme se v příštím díle na to, o jaké povinnosti se jedná a jak jim co nejlépe vyhovět.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU