Prvního ledna uplynulo pět let ode dne, kdy nabyl účinnosti zákon o kybernetické bezpečnosti. Česko v bezpečnostní oblasti vytvořilo propracovaný a ve své době unikátní právní předpis, který je odbornou komunitou vesměs velmi dobře hodnocen a jehož obsahovými parametry se inspirují i právní řády jiných zemí. Přesto i Česko čelilo v praxi v uplynulých pěti letech potížím.

Ukazuje se, že roční lhůta, po jejímž uplynutí jsou subjekty povinny dodržovat předepsané povinnosti a prokázat zejména řádné plnění organizačních a technických opatření, působí problémy u povinných osob v postavení veřejných či sektorových zadavatelů. Nezřídka totiž i s vynaložením maximálního úsilí nejsou s to během takto krátkého období kvůli složitosti zadávacího procesu a mnohdy jen obtížně předpokládatelnému postupu uchazečů zajistit od externích dodavatelů komponenty služeb a produkty potřebné pro zajištění kyberneticko-bezpečnostního compliance.

Úskalím, se kterým je možné se v praxi setkat, je také problematika výkladu některých specifických povinností, které jsou povinným osobám s širokým dopadem regulace, mezi něž typicky patří správci informačního či komunikačního systému kritické informační infrastruktury, přímo ukládány. Například provedení identifikace takzvaných podpůrných technických aktiv může na první pohled působit až banálně. V provozní realitě velkých korporací se však určení, co ještě považovat za tento typ podpůrného aktiva a co už nikoli, jeví často jako téměř nadlidský úkol i pro dlouholeté zkušené manažery majetkových portfolií.

Situace je pak ještě složitější v případě, kdy se povinné osoby snaží vynucovat zákonem požadovanou součinnost svých dodavatelů a požadují zapracovat do příslušných kontraktů jednotlivé specifické náležitosti, například ustanovení o kontrole a auditu dodavatele či o povinnosti dodržovat bezpečnostní politiky povinného subjektu. Byť existují možnosti, jak splnění povinností dosáhnout soudní cestou, tyto jsou v praxi velmi nákladné finančně i časově. Navíc v situaci, kdy takový postup může odradit potenciálního dodavatele od zájmu do smluvního vztahu vůbec vstoupit, se k těmto krajním řešením povinné subjekty fakticky neuchylují. O to méně, když je dodavatelem nadnárodní korporace poskytující své služby globálně, pro kterou nemusí být česká zakázka až tak lukrativní.

Česko přistupuje k problematice kybernetické bezpečnosti zodpovědně a snaží se, aby vzrostlo povědomí o jejím významu i u širší veřejnosti. K tomu napomáhá činnost samotného Úřadu pro kybernetickou bezpečnost publikováním celé řady metodik a pořádáním odborných školení.

Avšak provozní realita celé řady společností ještě ani dnes nezačala vnímat důležitost kybernetické bezpečnosti, a to navzdory zákonným povinnostem jednat s péčí řádného hospodáře a s dostatečnou loajalitou. To se bude muset tváří v tvář hrozbám, kterým nejen Česko v této oblasti čelí, změnit. Do budoucna proto můžeme očekávat, že bude výrazně narůstat poptávka po odborných znalostech z oblasti kybernetické bezpečnosti.

 

Komentář byl zveřejněn v mesíčníku Právní rádce.