V minulém článku jsme se věnovali tomu, kterých firem se nově budou týkat povinnosti v oblasti zajišťování kybernetické bezpečnosti vyplývající z nové směrnice Evropské unie NIS2.

U většiny subjektů lze v návrhu nového zákona o kybernetické bezpečnosti vysledovat souvislost určení míry povinností zejména s velikostí podniku, roli však také hraje rozsah a míra dopadu bezpečnostního incidentu. Režim povinností není v rozhodovací pravomoci subjektu, požadovaná úroveň je určena definovanými kritérii v prováděcí vyhlášce a dále může být určena Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB).

Pokud u subjektu bude identifikována některá služba v režimu vyšších povinností, pak automaticky všechny ostatní služby budou též zařazeny do režimu vyšších povinností, ačkoliv samy o sobě by kritéria nenaplňovaly.

V zásadě se však povinnosti subjektů v obou režimech příliš neliší, podrobnosti uvádí následující tabulka.