Tento průvodce je určen partnerům, právníkům a compliance manažerům v právních kancelářích, které zpracovávají citlivá data z litigace a transakcí. Naučíte se konkrétní požadavky NIS2 pro sektor právních služeb a jak zajistit ochranu údajů chráněných právní mlčenlivostí.
Právní kanceláře s více než 50 zaměstnanci nebo s ročním obratem přesahujícím 10 milionů eur, které poskytují právní služby související s M&A transakcemi, soudními spory nebo citlivými korporátními záležitostmi, podléhají povinnostem NIS2 jako důležité entity. Malé kanceláře zpracovávající údaje svých klientů jsou rovněž povinny zajistit adekvátní bezpečnost v souladu se zákonem č. 181/2014 Sb.
Právní kanceláře musí implementovat šifrování dat v klidu a v přenosu pro všechny dokumenty a komunikaci obsahující údaje klientů. Tato ochrana musí být technicky vynucena na všech zařízeních právníků (laptopy, mobilní zařízení, cloudové úložiště) a musí splňovat požadavky na správu práv přístupu s možností ověření a auditování. Porušení může vést k pokutě až 50 milionů Kč pro GDPR a dalším sankcím.
Všechny platformy pro správu právních případů (case management systémy) a e-discovery nástroje musí být chráněny vícefaktorovým ověřením (MFA). Přihlášení pomocí samotného hesla není dostatečné; povinné je použití kombinace nejméně dvou faktorů (poznámka, biometrie, hardwarový klíč). Tato opatření zabraňují neautorizovanému přístupu k citlivým soudním materiálům.
Právní kanceláře musí ověřovat bezpečnostní standardy všech dodavatelů právního software, cloudových služeb pro dokumentaci a externích IT partnerů. Minimálně jednou ročně je třeba provést audit bezpečnosti těchto dodavatelů a zajistit smluvní záruky ohledně ochrany dat. NIS2 vyžaduje, aby byly v dokumentech identifikovány všechny rizika v dodavatelských řetězcích.
Má-li právní kancelář podezření na porušení bezpečnosti údajů, která ovlivňují probíhající soudní řízení nebo transakce, musí toto incident oznámit Úřadu pro kybernetickou bezpečnost (NÚKIB) bez zbytečného odkladu, maximálně do 72 hodin. Incidenty musí obsahovat popis rozsahu, ovlivněné osoby a přijatá nápravná opatření.
Citlivé právní dokumenty nesmí být nikdy sdíleny prostřednictvím běžné nezabezpečené elektronické pošty. Právní kanceláře musí zavést bezpečný systém sdílení souborů s end-to-end šifrováním a možností sledování přístupu. Všechny externí komunikace s klienty musí probíhat přes ověřené kanály a dokumenty musí být automaticky šifrovány.
Incident bezpečnosti údajů musí být nahlášen Úřadu pro kybernetickou bezpečnost bez zbytečného odkladu, nejpozději však do 72 hodin od jeho objevení. Pro právní kanceláře, kde incident ovlivňuje právní řízení nebo transakce, je důležité zajistit okamžitou vnitřní komunikaci a dokumentaci, aby se lhůta dodržela.
NIS2 se vztahuje na všechny právní kanceláře s 50 nebo více zaměstnanci nebo s ročním obratem/rozvahou přesahující 10 milionů eur. Malé samostatné právníky s minimálním počtem zaměstnanců může zatím NIS2 v plné míře nezavazovat, avšak jsou stále povinni chránit data klientů v souladu s GDPR a zákonem č. 181/2014 Sb.
Porušení bezpečnostních povinností podle NIS2 může vést k pokutě až 50 milionů Kč nebo 10 % ročního globálního obratu (podle toho, která částka je vyšší) pro GDPR aspekt, a dodatečné pokuty dle zákona č. 181/2014 Sb. až do 10 milionů Kč. Pro právní kanceláře je navíc rizikem ztráta důvěry klientů a soudních kauz.