Základní versus regulovaná služba

Stát právě nastavuje pravidla, která mění hru pro firmy poskytující služby, na nichž přímo závisí život a fungování společnosti. Na jednu stranu zde máme základní služby, které udržují chod státu a kritickou infrastrukturu, jako jsou elektřina, voda, zdravotnictví či železniční doprava. Na druhou stranu existují regulované služby, které mají zásadní význam pro kybernetickou bezpečnost a digitální infrastrukturu, kam spadají datová centra, cloudové služby a ICT systémy napojené na ekonomiku a veřejné služby.

Pro firmy to znamená zásadní povinnosti, ale také možnost jasně vymezit, kde přesně leží jejich odpovědnost a riziko. Pokud vaše firma provozuje například datové centrum nebo zajišťuje urgentní příjem v nemocnici, stáváte se automaticky součástí nového právního režimu. U základní služby se rozhoduje především podle technických parametrů a dopadu na společnost, zatímco u regulované služby se vychází zejména z velikosti podniku a jeho významu pro daný sektor.

Rozdíly mezi oběma kategoriemi jsou klíčové. Základní služby vycházejí z fyzické infrastruktury a kritérií významnosti, jako jsou počet uživatelů, dopad incidentu, závislost dalších odvětví a geografický rozsah. Za poskytování základní služby odpovídá firma Ministerstvu vnitra a dalším gestorským úřadům, které rozhodnou o zařazení na seznam subjektů kritické infrastruktury. Tento seznam sice není veřejný, ale jasně označuje firmy, jejichž výpadek by mohl výrazně narušit chod státu.

Regulované služby se naproti tomu vymezují spíše z pohledu kybernetické bezpečnosti. Podle velikosti firmy a typu poskytované služby je stanoveno, zda subjekt spadá do režimu vyšších nebo nižších povinností. Tato pravidla zahrnují zavedení bezpečnostních opatření, řízení rizik, monitoring, hlášení incidentů a pravidelné audity. Firmy s vyšším dopadem musí navíc testovat svou odolnost, prověřovat dodavatelský řetězec a úzce spolupracovat s Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB).

Samoidentifikace je prvním a zcela zásadním krokem, který firma musí udělat. Musí sama vyhodnotit, zda poskytuje základní nebo regulovanou službu, a tuto skutečnost oznámit příslušnému orgánu. Pro regulované služby je tímto orgánem NÚKIB, pro základní služby pak gestorský úřad podle odvětví ve spolupráci s Ministerstvem vnitra. U složitějších případů, kdy není zcela jasné, do které kategorie služba spadá, je vhodné kontaktovat příslušný úřad přímo s žádostí o potvrzení.

Praktický dopad pro podniky je značný, protože firmy musí investovat do bezpečnostních opatření, zavést procesy pro hlášení incidentů a neustále sledovat, zda jejich služby nespadly pod novou regulaci. Například datové centrum s příkonem nad 0,7 MW může být současně základní službou i regulovanou službou v režimu vyšších povinností. V praxi to znamená nutnost zavedení technických a organizačních postupů, které zajistí provoz bez výpadků a s minimálním rizikem kybernetických útoků.

Často se podceňuje právě kombinace obou režimů, kdy poskytovatel základní služby může být současně regulovanou službou podle kybernetického zákona. To automaticky zvyšuje požadavky na hlášení incidentů, pravidelné testování odolnosti i podrobnost dokumentace. Ačkoliv finanční zátěž a administrativní nároky rostou, odměnou je jasně definovaná odpovědnost a bezpečnostní rámec, který firmu chrání před haváriemi i vysokými regulačními pokutami.

Pro malé a střední podniky je nejdůležitější identifikovat, zda se jejich činnost nachází ve fyzickém kritickém pásmu nebo v digitální infrastruktuře s významem pro celý sektor. Pokud firma poskytuje obě varianty, musí plánovat opatření pro každý režim zvlášť. Praktickou radou je začít od parametrů služby, vyhodnotit reálný dopad na společnost a teprve na základě těchto faktů rozhodnout o formálním hlášení úřadům.

Závěr je v tomto ohledu zcela jasný, neboť zásadní je kombinace technických parametrů, společenského dopadu a velikosti podniku. Firmy, které tyto souvislosti pochopí, dokážou efektivně nastavit vnitřní procesy a připravit se na nové povinnosti bez hrozby finančního nebo reputačního kolapsu. Správná identifikace služby je základním stavebním kamenem pro bezpečný a stabilní provoz, který nejen splňuje zákon, ale zároveň chrání zákazníky i samotnou firmu před neočekávanými výpadky.

Pro komplexní přípravu je nutné propojit technický audit, organizační opatření a reporting. Zároveň je třeba sledovat, zda se parametry služby v čase nemění, protože například růst výkonu datového centra může znamenat rychlý přechod do vyššího režimu povinností. Ve světě, kde jsou služby kriticky propojené, je systémová odolnost jedinou cestou, jak zůstat dlouhodobě konkurenceschopný a zároveň v souladu se zákonem.