1. Jaké jsou podle Vás největší mýty nebo nedorozumění, které si firmy či instituce spojují s implementací směrnice NIS2?
Jedním z největších mýtů je přesvědčení, že směrnice NIS2 představuje pouze administrativní zátěž bez praktického přínosu. Ve skutečnosti je jejím cílem vytvořit robustní rámec kybernetické bezpečnosti, který chrání nejen infrastrukturu, ale také citlivé osobní údaje vzásadě veškerý náš „byznys“. Dalším nedorozuměním je představa, že bezpečnost lze „nařídit shora“. Směrnice poskytuje základní pravidla, ale skutečná bezpečnost vyžaduje aktivní a smysluplné zapojení organizací a jejich zaměstnanců. Je to celé hlavně o pudu sebezáchovy, jak správně připomněl Aleš Špidla. A konečně základním omylem je též představa, že nám někdo zařídí implementaci pravidel směrnice „na klíč“ – tento přístup se již kdysi neosvědčil u GDPR, avšak mnoha společnostem dal vydělat nemalé peníze.
2. Jaký vnímáte zájem o téma NIS2 mezi českými firmami a úřady – je spíše informativní, nebo už řeší implementaci konkrétních opatření?
Zájem o NIS2, která je mimochodem již dávno účinná, se mezi českými firmami a úřady se postupně zvyšuje. Na co se však často zapomíná je skutečnost, že jde o směrnici, kterou je třeba implementovat do českého právního řádu, a že mnohem důležitější bude pro české prostředí nový zákon o kybernetické bezpečnosti, jenž jde aktuálně do třetího čtení v Poslanecké sněmovně Parlamentu ČR. Na konferenci zaznělo mnoho praktických příkladů, mezi jinými například v prezentaci Jana Frka ze Software602, který zdůraznil důležitost rozumné elektronizace procesů a ochrany dat. Ten ve svém příspěvku mimo jiné ukázal, jak lze efektivně propojit moderní technologie s požadavky na bezpečnost dat, a to například nástroji pro správu dokumentů a elektronickou komunikaci, které nejen zvyšují efektivitu práce, ale zároveň zajišťují vysokou úroveň ochrany osobních údajů.
3. Jaká je podle Vás role pověřenců pro ochranu osobních údajů v prostředí, kde se začínají překrývat požadavky GDPR, NIS2 a dalších evropských nařízení?
Pověřenci pro ochranu osobních údajů hrají zásadní roli v propojení požadavků GDPR s dalšími regulacemi, jako je právě například NIS2. Jsou klíčovými odborníky při zajišťování souladu organizací s legislativou a při ochraně citlivých dat. V prostředí, kde se regulace překrývají, musí pověřenci nejen sledovat právní aspekty, ale také spolupracovat s IT odděleními na implementaci technických opatření. Pověřenec se tak v současné době musí dobře orientovat ve více oblastech, nejen v oblasti ochrany osobních údajů, jako tomu bylo ještě před několika lety, a musí tyto oblasti umět též správně propojit. To klade větší profesní nároky na pověřence jako takového, zejména v oblasti informační bezpečnosti.
4. Jakou přidanou hodnotu vidíte v tématu důvěryhodných elektronických služeb pro účastníky konference?
Důvěryhodné elektronické služby jsou základem moderní digitální společnosti. Poskytují bezpečné prostředí pro sdílení dat a komunikaci mezi institucemi a občany. Na konferenci bylo jasně vidět, že jejich význam roste, například díky praktickým možnostem elektronizace procesů ve veřejné správě. Tyto služby, ale zejména též dostatečné informování veřejnosti o nich, výrazně posilují důvěru veřejnosti v digitální technologie.
5. Jak si Česká republika stojí v porovnání s ostatními státy EU v připravenosti na nové regulace?
Česká republika má stále co dohánět v porovnání s některými státy EU, které již pokročily v implementaci směrnice NIS2. Aktuálně má vnitrostátní právní úpravu adaptující NIS schváleno pouze devět zemí EU. Na druhou stranu je pozitivní vidět rostoucí zájem o toto téma mezi českými firmami a úřady. Klíčem k úspěchu bude nejen legislativní připravenost, ale také schopnost aplikovat praktická opatření v každodenním provozu. Důležité bude také přijetí zákona o kybernetické bezpečnosti a prováděcích právních předpisů, kdy šance, že se tak stane ještě v tomto volebním období, stále klesá.
6. Jaké hlavní sdělení zaznělo na konferenci?
Konference byla nejen odborně přínosná, ale také velmi inspirativní díky setkání špičkových odborníků z různých oblastí a zástupců společností, kterých se regulace přímo dotýká. Prezentace přednášejících a diskuse mezi účastníky ukázaly, že propojení kybernetické bezpečnosti a ochrany osobních údajů je klíčové nejen pro splnění legislativních požadavků, ale také pro budování důvěryhodného digitálního prostředí.
Velkou hodnotou bylo sdílení praktických zkušeností a pohledů na implementaci nejen směrnice NIS2, ale i dalších regulací, jako jsou GDPR, DGA, CER či DORA. Příspěvky přednášejících ukázaly, že regulace mohou být nejen výzvou, ale také příležitostí k inovacím. Celkově byla konference skvělou platformou pro sdílení znalostí, zkušeností a hledání společných řešení aktuálních výzev kybernetické bezpečnosti a ochrany dat. Setkání v prostorách Poslanecké sněmovny dodalo akci jedinečný charakter a důstojnost.
V této souvislosti bych chtěl také zdůraznit roli profesních organizací, které se aktivně podílejí na správné implementaci těchto pravidel do praxe. Naše Asociace pověřenců ČR (www.nasesoukromi.cz) je jedním z významných subjektů, které poskytují odborné poradenství a podporu při zavádění těchto regulací. Pomáháme nejen pověřencům pro ochranu osobních údajů, ale také organizacím řešit otázky spojené s kybernetickou bezpečností a legislativními požadavky.
Děkujeme za rozhovor!
Mgr. Jaroslav Hora je absolventem Univerzity Karlovy v Praze, magisterského a postgraduálního studia v oboru informačních věd, a Policejní akademie ČR ve studijním oboru bezpečnostně právní studia. Od devadesátých let působí ve státní správě ve výkonných i manažerských funkcích v oblasti bezpečnosti a ochrany dat. V roce 2017 začal působit v ČSÚ v rámci bezpečnostního odboru a rok nato byl jmenován do funkce pověřence pro ochranu osobních údajů. Je aktivním členem profesních sdružení Spolek pro ochranu osobních údajů a Asociace pověřenců ČR.
