Na úvod je nutné podotknout, že všechny donucovací prostředky a sankce musí být proporcionální a při jejich ukládání musí být vzata v potaz například povaha porušení, jeho závažnost, vzniklé či hrozící škody, zdali porušení vzniklo úmyslně či nedbalostně nebo míra spolupráce regulované organizace odpovědné za porušení. V tomto ohledu je směrnice NIS2 v souladu s dlouholetou zavedenou praxí týkající se ukládání sankcí v českém právním řádu.

Mezi kontrolní prostředky, mající sloužit k tomu, aby bylo vymáhání povinností po regulovaných organizacích efektivní, patří u provozovatelů regulovaných služeb v režimu vyšších povinností například kontroly na místě, bezpečnostní audity, skeny zranitelností, žádosti o informace, žádosti o zpřístupnění dat nebo doložení zavedení bezpečnostních politik.

NÚKIB nadto může poskytovatelům regulovaných služeb v režimu vyšších povinností závazně uložit například provedení opatření, které povede k nápravě či předcházení bezpečnostního incidentu (ze zákona o kybernetické bezpečnosti známé jako reaktivní nebo ochranné opatření). Může také nařídit zdržet se chování, které není ve shodě s transponovanou směrnicí NIS2, či nařídit provedení doporučení vzešlých z provedené kontroly (slovy zákona o kybernetické bezpečnosti „nápravná opatření“).

V případě, že tyto kontrolní a donucovací prostředky neposlouží svému účelu, bude možné poskytovateli regulované služby v režimu vyšších povinností dočasně pozastavit certifikace či licence umožňující regulované organizaci vykonávat jeho regulovanou službu, anebo v souladu s českým právním řádem požadovat soudní rozhodnutí, kterým bude konkrétní fyzické osobě v řídicí pozici zabráněno dočasně vykonávat řídicí funkce v regulované organizaci. Co přesně bude tento donucovací prostředek obsahovat a jaké budou podmínky jeho využití, je závislé na možnostech každého členského státu. Směrnice NIS2 však stanoví, že pozastavení certifikace nebo výkonu řídicí funkce má být účinné pouze do doby, než budou napraveny nedostatky v řízení kybernetické bezpečnosti v organizaci, a dále že tento typ sankce nemá být uplatňován vůči subjektům veřejné správy.

Kontrolní a donucovací prostředky pro regulované organizace v kategorii „důležitý subjekt“ (tj. poskytovatele regulovaných služeb v režimu nižších povinností) jsou z velké části shodné s těmi, o kterých jsme hovořili v souvislosti s poskytovateli regulovaných služeb v režimu vyšších povinností“. Důležitým rozdílem je však absence poslední části týkající se dočasného pozastavení certifikací či licencí a pozastavení výkonu řídicí funkce pro konkrétní osoby.

Směrnice také v obecné rovině stanoví nejnižší možnou úroveň horní hranice sazby pokut. Ta je stanovena pro regulované organizace v kategorii „důležitý subjekt“ horní hranicí 7 miliónů EUR nebo 1,4 % ze světového obratu (podle toho, co je vyšší). V kategorii „základní subjekt“ je potom horní hranice 10 miliónů EUR nebo 2 % ze světového obratu (podle toho, co je vyšší).

Na závěr je potřeba zmínit, že směrnice NIS2 ukládá povinnosti spolupracovat v případě podezření z narušení ochrany osobních údajů s relevantními autoritami v této oblasti.

V návrhu nového zákona o kybernetické bezpečnosti jsou obsaženy veškeré pravomoci z oblasti dohledu a vymáhání, kterými musí kompetentní orgány disponovat dle směrnice NIS2, přičemž řada z nich je zakotvena již ve stávajícím znění zákona. Kromě kontrol zmíněných v předcházejícím tématu a navazujících nápravných opatření jsou to tzv. protiopatření zahrnující možnost vydání výstrahy, varování či reaktivního opatření. Tato protiopatření však neslouží primárně jako sankční prostředky.

Typickými sankčními prostředky jsou pokuty, které mohou být uloženy v souvislosti se spácháním přestupků navazujících na jednotlivé zákonné povinnosti. Výše pokut v převážné míře vychází z požadavků směrnice NIS2, případně řádově zhruba odpovídá výši pokut dle směrnice NIS2. Obdobná výše pokut je stanovena také v předpisech z oblasti ochrany osobních údajů, přičemž zde není důvod se od této praxe významně odchylovat. Ústředním principem zůstává, že by uložené sankce měly být vždy účinné, přiměřené a odrazující, přičemž budou zohledněny okolnosti každého jednotlivého případu. U sankcí jsou zároveň stanoveny pouze horní limity, přičemž platí, že sankce nesmí být likvidační. Spodní hranice ukládaných pokut stanoveny nejsou.

Kromě standardních sankčních nástrojů, kterými jsou pokuty, jsou v návrhu nového zákona o kybernetické bezpečnosti v souladu se směrnicí NIS2 zahrnuty také tzv. jiné správní tresty, mezi něž patří pozastavení platnosti certifikace a dočasný zákaz výkonu funkce člena statutárního orgánu. Ty však lze uplatnit pouze v případě poskytovatelů regulovaných služeb v režimu vyšších povinností. Informaci o pozastavení platnosti certifikace nebo o rozhodnutí o dočasném zákazu výkonu funkce člena statutárního orgánu NÚKIB zveřejňuje na svých webových stránkách.

K pozastavení platnosti certifikace může dojít v případě, kdy NÚKIB poskytovateli regulované služby uloží povinnost odstranit nedostatky zjištěné při kontrole a poskytovatel tuto povinnost nesplní. Je-li regulovaná organizace držitelem evropského certifikátu kybernetické bezpečnosti nebo jiného certifikátu či osvědčení souvisejícího se zajištěním kybernetické bezpečnosti regulované služby, může dojít k pozastavení jeho platnosti do doby odstranění nedostatků zjištěných při kontrole, nejméně však na 6 měsíců.

Krajním sankčním prostředkem je pak dočasný zákaz výkonu funkce člena statutárního orgánu fyzické osobě. O dočasném zákazu může NÚKIB rozhodnout, pokud by člen statutárního orgánu poskytovatele regulované služby v režimu vyšších povinností, opakovaně nebo závažně porušili své povinnosti při výkonu své řídicí funkce, v důsledku čehož bylo zmařeno řádné splnění rozhodnutí NÚKIB, uložena povinnost odstranit nedostatky zjištěné při kontrole. Zjednodušeně řečeno jde o situace, kdy se bude vrcholné vedení regulované organizace soustavně vyhýbat plnění svých zákonných povinností vyplývajících z návrhu zákona o kybernetické bezpečnosti a jeho prováděcích předpisů. Tento dočasný zákaz trvá obdobně jako u pozastavení platnosti certifikace do odstranění zjištěných nedostatků, nejméně však 6 měsíců.

Pro bližší seznámení s novou výší pokut a s dalšími sankcemi nahlédněte do návrhu zákona o kybernetické bezpečnosti.

1. Obecné informace o směrnici NIS2 a budoucí národní úpravě
2. Koho se nové povinnosti týkají
3. Rozdělení povinných organizací
4. Povinnost zavádět bezpečnostní opatření
5. Incidenty a způsob jejich hlášení
6. Ohlášení regulované služby a komunikace s NÚKIB
7. Způsob kontroly plnění povinností
8. Sankce a donucovací prostředky
9. Národní a mezinárodní spolupráce
10. Další specifika úpravy v České republice
11. Jak se připravit na novou právní úpravu
12. Finanční aspekty návrhu nového zákona o kybernetické bezpečnosti