Praha 24. února 2023 (PROTEXT) - Jak se na ně připravit pomocí standardů a certifikace?
Z českého Parlamentu i z Evropské unie se valí další a další regulace. Některé se týkají jen vybraného okruhu podniků, jiné dopadají prakticky na všechny. Někde jsou organizace do regulace řazeny podle počtu zaměstnanců, jinde podle obratu.
A k tomu ty lhůty: Nikoli výjimečně se stává, že český zákonodárce nestihne převést EU směrnici do českého zákona včas. Směrnice tedy vlastně zčásti platí, ale většinově ne. Potom se chvíli nic neděje a najednou se začne spěchat. Nový zákon je rychle projednán, přijat a na jeho implementaci v praxi je docela málo času.
Kdo je připraven, není překvapen. Proto si pojďme projít tři hlavní regulatorní výzvy roku 2023. U každé si také řekneme, jak se na ně chytře připravit s využitím mezinárodních příkladů dobré praxe, zkušeností a poznatků z implementace u subjektů.
Výzva č. 1: Kybernetická bezpečnost
Kybernetická bezpečnost je tématem dneška, zítřka i dalších dní. Útoků na banky, výrobní podniky, e-shopy, nemocnice a státní úřady neubývá. Statistiky hovoří jasně: Trend kyberbezpečnostních útoků a incidentů je významně rostoucí. S ohledem na globální souvislosti tomu tak zřejmě bude i v tomto a dalších letech.
Zajištění kontinuity výroby a dodržení smluvních závazků, udržení zákaznického servisu či ochrana klientské databáze, to vše je důležité i bez výslovného zakotvení v zákoně. Ale Evropská unie pro jistotu přichází s novou směrnicí, NIS2, která tisícům podniků a úřadů uloží zavést komplexní a ucelený systém pro kybernetickou bezpečnost.
Podle současného zákona o kybernetické bezpečnosti je regulováno zhruba 400 organizací. Nový zákon, který bude účinný od poloviny roku 2024, se bude vztahovat na více než 6.000 subjektů. Z oblasti energetiky, dopravy, distribuce potravin, poskytování IT služeb, zdravotnictví, výroby některých produktů, např. počítačů, motorových vozidel nebo zdravotnického zařízení atd.
Ty všechny budou povinny zavést skutečně ucelený systém. Požadavky NIS2 se nesplní jen zavedením hesel, proškolením zaměstnanců nebo nákupem jedné bezpečnostní aplikace.
Polovina roku 2024 je zdánlivě daleko. Zavedení celého systému ale bude náročné na kapacity i čas, navíc se některé požadavky budou ještě v čase upřesňovat.
Jak to? Copak NIS2 není ještě hotová?
NIS2 je již hotová a schválená. Ale je to směrnice, která musí být převedena do českého zákona. A na něj budou navazovat detailní vyhlášky. Něco ještě může vlastními prováděcími předpisy upřesnit evropská Komise.
Chcete se připravit, chránit majetek a činnost svého podniku, citlivé údaje, vaši reputaci? A usnadnit si splnění NIS2?
NIS2, stejně jako navazují předpisy, mají velkou inspiraci v mezinárodních standardech a normách pro systém řízení informační bezpečnosti (Information Security Management System – ISMS). Zejména normy řady ISO 27…, které obsahují všechny základní a důležité kroky a součásti systému pro ochranu informací a zajištění kybernetické bezpečnosti.
Seznamte se s požadavky této řady norem.
Zaveďte je do praxe, abyste ochránili to cenné, co vaše organizace spravuje a provozuje. Svůj závazek chránit informace a provozní odolnost si můžete rovnou certifikovat, abyste ji snadno doložili všem ostatním: Mateřské společnosti, investorům, zřizovateli i klientům. A na NIS2 budete připraveni!
Výzva č. 2: Whistleblowing
Povinnost zavést whistleblowing kanál, jmenovat prošetřovatele (whistleblowing officera) a chránit oznamovatele, je nám také uložena směrnicí EU. Český zákonodárce nestihl lhůtu pro její zavedení do českého práva. V Parlamentu už aspoň máme další návrh nového zákona a můžeme čekat, že u něj se bude spěchat. A že pak na jeho implementaci bude poměrně málo času.
Kdy bude zákon přijat?
Pevná lhůta není, ale konečné znění můžeme očekávat ještě v roce 2023.
Koho se bude povinnost řešit whistleblowing týkat?
Všech podniků nad 50 zaměstnanců a všech zadavatelů veřejných zakázek, kromě malých obcí. Ti všichni budou muset přijímat, evidovat a řešit oznámení o tom, že při jejich činnost může docházet k porušení regulace. Například při výpočtu a placení daní, při zajištění kvality výrobků, potravin, ochrany životního prostředí, ochrany spotřebitele, ale třeba i zpracování a využití osobních údajů nebo zajištění kybernetické bezpečnosti.
Whistleblowing je právě ten případ, kdy se rozsah nové regulace ještě bude měnit. Měnit ve smyslu rozšiřovat, o nové povinné organizace. Proto se vyplatí sledovat i legislativní vývoj a včas se připravit.
Může s přípravou na nový whistleblowing zákon také pomoci nějaká norma nebo standard?
Ano, k dispozici je ISO 37002:2021. Norma popisuje základní požadavky na celý whistleblowing systém. Od chráněného kanálu pro příjem oznámení, přes jeho prošetření až po poskytnutí informací všech dotčeným a proškolení zaměstnanců.
Chcete být připraveni a neriskovat, že požadavky českého whistleblowing zákona budete zavádět pod tlakem, rychle a na úkor byznysových požadavků? Tak se seznamte s normou ISO 37002:2021, implementujte hlavní prvky whistleblowing systému v předstihu a můžete být v klidu.
Výzva č. 3: GDPR
Cože, GDPR? To už máme dávno hotové…
Opravdu? Sledujete judikaturu Soudního dvora EU komplikující předávání dat do USA, rozhodnutí dozorových úřadů, stamilionové pokuty za cookies a marketing, nové metodiky?
I GDPR samo počítá na řadě míst s certifikací. Certifikace může být mj. nástrojem, jak doložit soulad s regulatorními požadavky při předávání osobních údajů mimo EU. Nebo pro dokumentování souladu v B2B vztazích, ale i ve vztahu ke klientům, investorům atd.
Co dělat, když po vás mateřský podnik nebo potencionální investor chce doložit soulad s GDPR, potvrzení, že mu nehrozí žádné riziko pokuty nebo závazného pokynu vymazat nelegálně pořízenou klientskou databázi?
Pomoc opět nabízejí normy řady ISO. Tentokrát ISO/IEC 27701:2019.
Jedná se o nadstavbu nad celkovým systémem pro ochranu informací. Tato norma se specificky týká ochrany osobních údajů. Odráží všechny hlavní principy a požadavky, které obsahuje i GDPR. Pokud chcete nebo potřebujete jednoznačně a objektivně doložit, že s osobními údaji nakládáte správně a že mateřská společnost, vaši klienti ani investoři nemusí bát, že máte ve skříni GDPR strašáka, pak je tato certifikace přesně pro vás.
A víte co?
Pro oblasti zpracování osobních dat se chystají i další normy.
Zůstaňte naladěni na TAYLLORCOX a sledujte naše novinky. Společně to zvládneme!
Kontakt:
Aleš Pilný
TAYLLORCOX | www.tx.cz/kontakt | ales.pilny@tayllorcox.com
https://www.tx.cz/blog/3-nejvetsi-regulatorni-vyzvy-tohoto-roku-prehledne