12. července 2023

Návrh zákona o kybernetické bezpečnosti může ovlivnit i subjekty poskytující služby v oblasti finančního trhu

Návrh zákona o kybernetické bezpečnosti, který se od 19. června 2023 nachází v připomínkovém řízení, zavádí nový soubor povinností pro poskytovatele regulovaných služeb v oblasti finančního trhu. Nad rámec služeb spjatých s kritickou infrastrukturou se obecně jedná o služby významné pro zabezpečení důležitých společenských nebo ekonomických činností.

Dle navrhované právní úpravy budou prováděcím právním předpisem specifikována kritéria, která stanoví, kdy do kategorie regulovaných služeb spadají služby z oblasti finančního trhu. V oblasti finančního trhu se dle prováděcí vyhlášky jedná o tyto služby:

  1. a) výkon činnosti úvěrové instituce – pokud se jedná o podnik střední (tj. podnik s 50 – 249 zaměstnanci a ročním obratem od 10 do 50 milionů EUR nebo rozvahou od 10 do 43 milionů EUR) nebo velké velikosti (podnik přesahující hodnoty pro střední podnik),
  2. b) provoz obchodního systému – jestliže se jedná o podnik střední nebo velký,
  3. c) výkon činnosti ústřední protistrany – za předpokladu, že ústřední protistrana je středním nebo velkým podnikem,
  4. d) výkon činnosti platební instituce – v případě, že její roční průměrný objem provedených platebních transakcí za dobu předchozích tří kalendářních let přesahuje částku odpovídající 40 000 000 000 EUR,
  5. e) výkon činnosti instituce elektronických peněz – pokud roční průměrný objem vydaných elektronických peněz za dobu předchozích tří kalendářních let přesahuje částku odpovídající 20 000 000 000 EUR.

Mezi povinnosti, které budou muset dotčené subjekty plnit, se řadí zejména:

  • užší spolupráce s dohledovými orgány v rámci kybernetické bezpečnosti.
  • specifická úroveň kybernetického zabezpečení,
  • nutnost provádět kybernetický audit.

Návrh zákona reflektuje zejména evropskou směrnici NIS 2, zároveň přichází s některými povinnostmi nad rámec této směrnice. V části týkající se finančních institucí přebírá pouze některé povinnosti z nařízení DORA. Nadále platí, že nařízení DORA je, co se týče kybernetické bezpečnosti, pro finanční instituce stěžejní. Zmíněné instituce tak budou povinny plnit jak nařízení DORA, tak zákon o kybernetické bezpečnosti.

Další články