Chystaná pravidla kyberbezpečnosti se dotknou i holdingů a koncernů. Vyjasnění ohledně holdingových struktur se bohužel příliš nevěnuje ani chystaná domácí, ani účinná evropská legislativa. Správná vodítka je třeba hledat za pomoci výkladu Národního úřadu pro kybernetickou bezpečnost.

V souvislosti s přijetím směrnice NIS2 a její transpozicí do nového zákona o kybernetické bezpečnosti (nZKB) vyvstala otázka, jak posuzovat závaznost směrnice a nZKB pro subjekty v rámci holdingu či koncernu. Nový zákon o kybernetické bezpečnosti ani důvodová zpráva k němu se k tomuto v zásadě nevyjadřuje a ani směrnice NIS2 sama nepřináší mnoho informací.

Směrnice NIS2 se problematice holdingů a koncernů příliš nevěnuje, ale z jejích recitálů vyplývá, že předpokládá zohledňování propojenosti podniků zejména při posuzování kritéria velikosti subjektů v návaznosti na doporučení Komise 2003/361/ES (doporučení EK), z něhož mají členské státy vycházet při stanovení stropů velikosti subjektů, které budou spadat jak do působnosti směrnice NIS2, tak národní úpravy.

Předpoklad posuzování propojenosti podniků pro určení velikosti podniku vyplývá i z recitálu č. 16 směrnice NIS2, kde je explicitně uvedena možnost členských států zohlednit míru nezávislosti, v níž se subjekt nachází ve vztahu ke svým partnerským nebo přidruženým podnikům, aby se zabránilo situaci, kdy by subjekty mající partnerské či přidružené podniky, byly považovány za základní nebo důležité subjekty tam, kde by to bylo nepřiměřené.

Nezávislost subjektu na jeho partnerovi či přidruženém podniku může být vyvozena zejména s ohledem na nezávislost sítě a informačních systémů, které tento subjekt používá při poskytování svých služeb, a služby, které daný subjekt poskytuje. 

Členské státy pak mohou rozhodnout, že takový subjekt (i přes propojenost s dalšími podniky) nenaplňuje velikostní kritéria pro střední podnik dle doporučení EK (samozřejmě za předpokladu, že by se po zohlednění stupně nezávislosti daný subjekt samostatně nepovažoval za střední či větší podnik).

Co na to NÚKIB?

Odpověď na tuto otázku poskytl Národní úřad pro kybernetickou bezpečnost (NÚKIB) v reakci na zaslaný dotaz k výkladu pojmu poskytovatele regulované služby v kontextu holdingových struktur.

Ze sdělení NÚKIB vyplývá, že z hlediska holdingových struktur je třeba odlišovat několik aspektů – poskytování regulované služby, velikost subjektu a další specifická kritéria poskytovatele regulované služby (například držení licence, velikost výrobního zdroje, počet zákazníků a podobně).

Ve vztahu k posuzování toho, kdo poskytuje regulovanou službu, mají být ze strany NÚKIB hodnoceny pouze konkrétní samostatné společnosti (konkrétní IČO). 

Je-li tedy v holdingu několik společností, z nichž jedna podléhá nZKB (například poskytuje služby datacentra) a zbylé se zabývají činnostmi nespadajícími do regulace dle nZKB, dopadne regulace pouze na tu společnost, která poskytuje služby datacentra, nikoli zbylé subjekty poskytující činnosti nepodléhající úpravě nZKB. 

Obdobně i další specifická kritéria poskytovatele regulované služby jsou vázána pouze na konkrétního poskytovatele (například držení licence má být relevantní jen u toho subjektu, který regulovanou službu reálně poskytuje). Z uvedených hledisek tedy dle sdělení NÚKIB není příslušnost k holdingu vůbec relevantní.

Proč je důležité pohlídat si propojenost podniků

Existence holdingu je však relevantní, pokud jde o určení velikosti podniku. To znamená, že pokud by výše uvedený poskytovatel regulované služby (například zmíněného datacentra) byl sám o sobě malým nebo mikro podnikem (méně něž 50 zaměstnanců/roční obrat či bilanční suma roční rozvahy menší než 10 milionů eur), ale v součtu se zbylými propojenými či partnerskými podniky by tyto hodnoty překročil, bude se na něj (jakož i na všechny společnosti v holdingu, pokud by u nich byla zjišťována velikost podniku) hledět jako na střední či velký podnik (v závislosti na počtu zaměstnanců či rozsahu obratu/bilanční sumy celé skupiny).

Pro úplnost je třeba dodat, že připravovaná regulace v nZKB je nastavena tak, že nezohledňuje míru nezávislosti informačních systémů společností spadajících do holdingu, jak předpokládá směrnice NIS2. 

Dle tvrzení NÚKIB by v českých reáliích bylo nepřiměřeně obtížné zjišťovat, jak moc jsou systémy konkrétních společností spadajících do holdingu nezávislé, a ve většině případů by dle NÚKIB stejně nebylo možné nezávislost konstatovat (vzhledem k obvyklému – alespoň částečnému – centrálnímu řízení systémů v rámci holdingových struktur).

Z uvedeného tedy vyplývá, že v rámci holdingu by měly být posuzovány jen konkrétní společnosti, které reálně poskytují regulovanou službu. 

Je však třeba upozornit na to, že subjekty si budou muset hlídat propojenost jejich podniků, protože takto velmi snadno může připravovaná legislativa dopadnout i na ty subjekty poskytující regulovanou službu, které by jinak samostatně nenaplnily kritéria středního či velkého podniku.

 

Článek také vyšel na portálu INFO.CZ | Jak dopadne nový zákon o kybernetické bezpečnosti na holdingy a koncerny?