Některé regulace se týkají jen vybraného okruhu podniků, jiné dopadají prakticky na všechny. Někde jsou organizace do regulace řazeny podle počtu zaměstnanců, jinde podle obratu.
A k tomu ty lhůty: Nikoli výjimečně se stává, že český zákonodárce nestihne převést EU směrnici do českého zákona včas. Směrnice tedy vlastně zčásti platí, ale většinově ne. Potom se chvíli nic neděje a najednou se začne spěchat. Nový zákon je rychle projednán, přijat a na jeho implementaci v praxi je docela málo času.
Kdo je připraven, není překvapen.
Podívejme se, jakým regulatorním výzvám firmy i veřejné instituce (ministerstva, kraje, obce) aktuální čelí a v nejbližší době je budou muset řešit. U každé si také řekneme, jak se na ně chytře připravit s využitím mezinárodních příkladů dobré praxe, zkušeností a poznatků z implementace a auditů.
Výzva č. 1: Kybernetická bezpečnost
Kybernetická bezpečnost je tématem dneška, zítřka i dalších dní. Útoků na banky, výrobní podniky, e-shopy, nemocnice a státní úřady neubývá. Statistiky hovoří jasně: Trend kyberbezpečnostních útoků a incidentů dramaticky roste. S ohledem na globální souvislosti tomu tak zřejmě bude i v tomto a dalších letech.
Zajištění kontinuity výroby a dodržení smluvních závazků, udržení zákaznického servisu či ochrana klientské databáze, to vše je důležité i bez výslovného zakotvení v zákoně. Ale Evropská unie pro jistotu přichází s novou směrnicí, NIS2, která tisícům podniků a úřadů uloží zavést komplexní a ucelený systém pro kybernetickou bezpečnost.
Podle současného zákona o kybernetické bezpečnosti je regulováno zhruba 400 organizací. Nový zákon, který bude účinný od druhé poloviny roku 2024, se bude vztahovat na více než 6.000 subjektů. Z oblasti energetiky, dopravy, distribuce potravin, poskytování IT služeb, zdravotnictví, výroby některých produktů, např. počítačů, motorových vozidel nebo zdravotnického zařízení atd.
Ty všechny budou povinny zavést skutečně ucelený systém pro řízení informačních aktiv, hodnocení rizik a zavedení a průběžnou aktualizaci a doplňování robustních bezpečnostních požadavků. NIS2, resp. nový zákon o kybernetické bezpečnosti a jeho prováděcí předpisy, vyhlášky, nebude možné splnit jen zavedením silnějších hesel, proškolením zaměstnanců nebo nákupem jedné bezpečnostní aplikace.
Polovina roku 2024 je zdánlivě daleko. Zavedení celého systému ale bude náročné na kapacity i čas, navíc se některé požadavky budou ještě v čase upřesňovat.
Jak to? Copak NIS2 není ještě hotová?
NIS2 je již hotová a schválená. Ale je to směrnice, která musí být převedena do českého zákona. A na něj budou navazovat detailní vyhlášky. Něco ještě může vlastními prováděcími předpisy upřesnit evropská Komise.
Chcete se připravit, chránit majetek a činnost svého podniku, citlivé údaje, vaši reputaci? A usnadnit si splnění NIS2?
NIS2, stejně jako navazují předpisy, mají velkou inspiraci v mezinárodních standardech a normách pro systém řízení informační bezpečnosti (Information Security Management System – ISMS). Zejména normy řady ISO 27…, které obsahují všechny základní a důležité kroky a součásti systému pro ochranu informací a zajištění kybernetické bezpečnosti.
Seznamte se s požadavky této řady norem.
Zaveďte je do praxe, abyste ochránili to cenné, co vaše organizace spravuje a provozuje. Svůj závazek chránit informace a provozní odolnost si můžete rovnou certifikovat, abyste ji snadno doložili všem ostatním: Mateřské společnosti, investorům, zřizovateli i klientům. A na NIS2 budete připraveni!
Výzva č. 2: Whistleblowing
Povinnost zavést whistleblowing kanál, jmenovat prošetřovatele (whistleblowing officera) a chránit oznamovatele, je nám také uložena směrnicí EU. V České republice jsme, pravda, s malým zpožděním, přijali příslušný zákon o ochraně oznamovatelů.
Od 1. srpna 2023 musí interní oznamovací kanál v plném rozsahu zavést větší společnosti, úřady, kraje a větší obce a všechny organizace, kterých se týká zákon proti praní špinavých peněz (AML). Ti ostatní, firmy, obce a příspěvkové organizace, které mají více než 50 zaměstnanců, musí požadavky zákona o ochraně oznamovatelů uvést do praxe do 15. prosince 2023.
Základním cílem této regulace je umožnit zaměstnancům a dalším osobám podávat důvěrným kanálem oznámení o tom, že při činnosti firmy nebo úřadu dochází k porušování zákonů. A tyto oznamovatele chránit před odvetnými opatřeními, např. výpovědí, přeložením nebo snížením platu.
Povinné organizace tak budou muset přijímat a řešit oznámení o tom, že u nich dochází k porušování pravidel například při výpočtu a placení daní, při zajištění kvality výrobků, potravin, ochrany životního prostředí, ochrany spotřebitele, ale třeba i zpracování a využití osobních údajů nebo zajištění kybernetické bezpečnosti.
Může s přípravou na nový whistleblowing zákon také pomoci nějaká norma nebo standard?
Ano, k dispozici je ISO 37002:2021. Tato norma popisuje základní požadavky na celý whistleblowing systém. Od chráněného kanálu pro příjem oznámení, přes jeho prošetření až po poskytnutí informací všech dotčeným a proškolení zaměstnanců.
Chcete být připraveni a whistleblowing zavést jako přiměřený a funkční systém, který pomůže i vaší organizaci? Tak se seznamte s normou ISO 37002:2021, implementujte hlavní prvky whistleblowing systému v předstihu a můžete být v klidu.
Výzva č. 3: GDPR
Cože, GDPR? To už máme dávno hotové…
Opravdu? Sledujete judikaturu Soudního dvora EU komplikující předávání dat do USA, rozhodnutí dozorových úřadů, stamilionové pokuty za cookies a marketing, nové metodiky?
I GDPR samo počítá na řadě míst s certifikací. Certifikace může být mj. nástrojem, jak doložit soulad s regulatorními požadavky při předávání osobních údajů mimo EU. Nebo pro dokumentování souladu v B2B vztazích, ale i ve vztahu ke klientům, investorům atd.
GDPR certifikace se ale bohužel stále ne a ne rozjet.
Co dělat, když po vás mateřský podnik nebo potencionální investor chce doložit soulad s GDPR, potvrzení, že mu nehrozí žádné riziko pokuty nebo závazného pokynu vymazat nelegálně pořízenou klientskou databázi?
Pomoc opět nabízejí normy řady ISO. Tentokrát ISO/IEC 27701:2019.
Jedná se o nadstavbu nad celkovým systémem pro ochranu informací. Tato norma se specificky týká ochrany osobních údajů. Odráží všechny hlavní principy a požadavky, které obsahuje i GDPR. Pokud chcete nebo potřebujete jednoznačně a objektivně doložit, že s osobními údaji nakládáte správně a že mateřská společnost, vaši klienti ani investoři nemusí bát, že máte ve skříni GDPR strašáka, pak je tato certifikace přesně pro vás.
A víte co?
Pro ochranu osobních údajů se chystají i další normy a standardy.
Zůstaňte naladěni na GDPR.cz a sledujte naše novinky. Společně to zvládnem!