Co se nám líbí na novém zákonu o kybernetické bezpečnosti

Nedávno jsme si s mým kamarádem Radimem Pracuchem povídali o věcech, které souvisí s přijetím nového zákona o kybernetické bezpečnosti. Hledali jsme jedno slovo, které by ho charakterizovalo a shodli se na slově srozumitelnost.

Teda ne že by byl úplně srozumitelný na první dobrou, ale když se trochu odprostíte od té záplavy právničtiny smíšené s ajťatštinou, zapomenete se zázračná řešení, které se na Vás odevšaď valí a soustředíte se na podstatu toho co se po Vás chce, tak zjistíte, že je to docela fajn a že to dává smysl.

A protože o sebě tvrdmím, že jsem tlumočník z a do ajťatštiny tak se to pokusím vysvětlit.

Hlavní rozdíl

Nový zákon o kybernetické bezpečnosti, který začne platit 1. listopadu 2025, nahrazuje dosavadní právní rámec z roku 2014. Zatímco ten původní byl zaměřen hlavně na informační systémy – významné, kritické atd. a na nich závislých služby. Nový zákon tenhle pohled v podstatě obrací.

V centru pozornosti jsou nyní tzv. regulované služby, tedy ty, které stát považuje za důležité pro fungování společnosti. Informační systémy a další aktiva, která zpracovávají informace nezbytné pro zajištění dostupnosti těchto služeb, posouvá zákon o úroveň níže. Současně rozšiřuje jejich okruh aktiv, na téměř všechno co pro to potřebujete. K čemu je vám chod informačního systému, když Vám vypadne dodavatel klíčových služeb nebo surovin?

Pro poskytovatele to znamená, že budou muset přemýšlet, kde a kým jsou jejich data resp informace zpracovávány, jaká rizika jim hrozí a jaká opatření mohou snížit dopady případného incidentu. Není to žádná zásadní revoluce – spíš bych to nazval návrat k principům řízení rizik, tak jak je znáte z jiných oblastí vašeho konání a zapojení zdravého selského rozumu. Právě v tom je ta srozumitelnost, která dává novému zákonu hlavu a patu.

Důležité je také to, že se téma kybernetické bezpečnosti posouvá z úrovně IT na vyšší úroveň řízení. Po IT specialistech nelze chtít, aby sami rozhodovali o tom, jaké dopady může mít incident pro podnikání – to je úkol vrcholného managementu. A nový zákon mu v tom dává jasnější roli i odpovědnost.

Jak to docela hezky shrnul Radim: „Management by měl rozumět nejen svým novým povinnostem, ale i samotné logice kybernetické bezpečnosti. Nejen kvůli rizikům, ale i kvůli nákladům – protože jen ten, kdo chápe souvislosti, dokáže rozumně rozhodovat.“

A já s tím naprosto souhlasím. Když se o kybernetické bezpečnosti začne mluvit srozumitelně, stane se z ní přirozená součást řízení firmy – ne strašák, kterého se všichni bojí. A to je věc, o kterou se snažím nejen na Rajské, ale i na společných projektech s kolegy z DATASYSu.

Pokud nevěříte, nebo přijďte si poslechnout nebo popovídat na některou z našich akcí. A pokud jste non IT manažer a témata jako srozumitelnost a náklady jsou to co Vás zajímá a trápí ozvěte se mi na email nebo se přihlaste na některý z workshopů, kde se pokusím vysvětlit, proč server není vaše primární aktivum.

Můžeme se třeba potkat 15. října v Praze v hotelu Don Giovanni na manažerském workshopu na téma kybernetické bezpečnosti. Jen je zde omezený počet mít, takže bez potvrzení to úplně nepůjde, viz. email výše.