Každou sekundu zastaví podle údajů společnosti Microsoft ochranné systémy po celém světě na čtyři tisícovky kybernetických útoků. Přesto ztrát citlivých údajů, vydírání firem i státních institucí ze strany hackerů přibývá. Národní úřad pro kybernetickou bezpečnost (NÚKIB) eviduje v průměru 19 incidentů měsíčně. Číslo ovšem zahrnuje pouze případy, kdy skutečně dojde k úniku dat nebo ztrátě peněz a postižená firma je musela úřadu hlásit.

S řešením podobných situací má pomoci nová evropská směrnice NIS2 a v Česku se promítne do zákona o kybernetické bezpečnosti. Jeho přesná podoba teprve vzniká, návrh aktuálně míří do Legislativní rady vlády. Směrnice požaduje účinnost nového zákona k 18. říjnu 2024, podle průběhu legislativního procesu se však dá čekat, že se o několik týdnů zpozdí.

Přesto by se firmy měly touto novinkou zabývat už nyní. Nemusí jít přitom o zbytečné papírování, shodli se experti v debatě týdeníku Ekonom. Dostatečně včasná příprava přesných postupů jim pomůže zvládnout situace, kdy půjde do tuhého.

Manažerka kybernetické bezpečnosti ve společnosti Cybrela Kateřina Hůtová upozornila, že v Německu se v poslední době objevilo několik středně velkých prosperujících společností, které zcela podcenily kybernetickou bezpečnost. Zdánlivě banální případy jejího narušení následně zcela paralyzovaly jejich činnost. Lidé ve firmě nevěděli, jak postupovat, manažeři se zbavovali odpovědnosti a přehazovali ji na své kolegy.

„Žádná legislativa ani žádné povinnosti neuchrání firmy od incidentů či od toho, že se nic nestane. To ani není možné. Ale může manažery navést, aby si dokázali poradit. S její pomocí lze snížit dopady, aby se kvůli nějakému běžnému incidentu, kterému se dalo základními prostředky zabránit, nepoložila celá firma,“ říká Hůtová.

Směrnice NIS2 vlastně supluje osvíceného podnikatele, který si uvědomuje kybernetické hrozby. Jejím dalším cílem je zabránit dominovým efektům. Když už po kybernetickém útoku nějaká větší společnost padne, aby s sebou nevzala někoho dalšího.

Technický ředitel společnosti Datasys Pavel Štros si myslí, že regulace je přínosná. „Je to vidět například ve státní správě za léta, kdy platí současný zákon o kybernetické bezpečnosti. Nad organizacemi je nějaký potenciální bič. A aby regulaci dostály, musí postupovat systematicky, odškrtávat si položky ze seznamu minimálního bezpečnostního standardu, který definuje legislativa,“ řekl v debatě.

Vyšší, nebo nižší úroveň povinností?

Směrnice dopadne v Česku zhruba na šest až deset tisíc subjektů. Je zřejmé, že půjde o velké a střední podniky, ale úplně přesná definice zatím není.

Kybernetická bezpečnost

Debaty týdeníku Ekonom na téma kybernetické bezpečnosti a směrnice NIS2 se zúčastnili (zleva): Jiří Hradský, advokát z kanceláře Sedlakova Legal, Pavel Štros, technický ředitel Datasys, Jan Zajíček, partner v Grant Thornton Advisory, a Kateřina Hůtová, manažerka kybernetické bezpečnosti Cybrela. Moderovala ji zástupkyně šéfredaktora Alžběta Vejvodová.

Firmy si mohou předběžně ověřit, zda na ně nová ustanovení míří, třeba na webových stránkách NÚKIB či některých poradenských firem. Například Cybrela má takovou pomůcku ve formě aplikace. Vše ovšem zatím vychází pouze z legislativního návrhu.

Partner ve společnosti Grant Thornton Advisory Jan Zajíček řekl, že největší příprava čeká hlavně střední firmy: „Pro velké podniky, na které dopadá už nynější legislativa, to nebude až takový problém.“

Advokát Jiří Hradský z kanceláře Sedlakova Legal se k němu přidal s podotknutím, že největší riziko vidí u některých výrobních firem, kde se kyberbezpečnost zatím vůbec neřešila. „Najednou mohou spadnout do režimu vyšších povinností, pak to pro ně bude poměrně nákladné, časově i finančně,“ upozornil.

Zákon rozdělí subjekty, které budou regulaci podléhat, do dvou režimů s nižšími a vyššími povinnostmi. V prvním bude fungovat větší část, nebude na ně tak přísný. Druhý režim se bude dotýkat kritičtějších služeb, pro stát významnějších. „Rozdíl bude například v tom, jaké kybernetické incidenty bude muset daný poskytovatel reportovat úřadu. Ti v režimu vyšších povinností budou muset podávat zprávu úplně o všech, ke kterým dojde, zatímco ti v režimu nižších povinností budou hlásit jen ty velmi významné,“ říká Hradský.

Kudy půjde dělicí linie, určí vyhláška o regulovaných službách. Podle jejího návrhu bude záležet například na tom, které služby daný subjekt poskytuje, jak je velký nebo jaké licence potřebujete k podnikání.

„Je třeba si také dát pozor na to, že pod zákon můžete spadat nikoliv svým hlavním byznysem, ale třeba jen nějakou doplňkovou službou. Příkladem může být poskytování řízení IT, na které se regulace vztahuje,“ říká Hůtová.

Najít dobré lidi, proškolit je a nechat si hlásit výsledky

Na firmy dopadne nová povinnost sebeidentifikovat se. Samy budou zjišťovat, zda některá z jejich činností spadá do působnosti zákona. V případě, že ano, nahlásí se úřadu. Pokud tak neučiní, vystavují se hrozbě poměrně tučných pokut.

Když pak obdrží potvrzení od NÚKIB, budou mít podle návrhu kyberregulace jeden rok na to, aby začaly implementovat bezpečnostní opatření, a následně další rok, aby je uvedly v život. „Pokud firma spadne do režimu nižších povinností, pro některé organizace to může znamenat jen formalizaci postupů. Je kladen velký důraz na zálohování, obnovu provozu po bezpečnostním incidentu. Jde při tom o zachování kontinuity podnikání,“ přiblížil Štros.

O kybernetickou bezpečnost se v důsledku nahlašovací povinnosti budou muset zajímat přímo členové vedení společnosti a pravidelně budou muset být proškolováni nejen oni, ale i administrátoři a uživatelé. Expert nicméně v tomto bodě nastupující legislativu nemá za nijak přísnou, tudíž ani nemusí být tak drahé ji ve firmě zavést a dodržovat.

Nebude‑li se vrcholové vedení o kyberbezpečnost zajímat, může mu být pozastaven výkon funkce.

Zajíček ovšem upozornil, aby firmy, hlavně ty střední, na které spadnou povinnosti nově, už nyní myslely na to, že budou potřebovat lidi znalé věci. „Rozhodně nelze říci, že IT specialista je i specialistou na kybernetickou bezpečnost. Vidím to jako velký handicap středních podniků a budou se s ním muset poprat,“ okomentoval současný stav s výhledem na blízkou budoucnost.

Manažeři pro informační technologie navíc mohou řešením rozumět po technické stránce, ale už ne po té legislativní. Kybernetická bezpečnost vyžaduje správné nastavení všech procesů v organizaci, souhru více složek, správu a řízení.

Do kybernetické bezpečnosti se musí zapojit i vrcholové vedení firmy. „Vyhlášky, ať už v režimu nižších nebo vyšších povinností, počítají s tím, že management tomu bude věnovat mentální kapacitu. Tím, že na to vyčlení peníze, zajistí lidi či vzdělávání. Pokud by se bránil, může v krajních případech a u firem s vyšší povinností dojít až k pozastavení výkonu funkce,“ připomněl advokát Hradský.

V besedě přišel na přetřes i případ možné absolutní ignorace kybernetické bezpečnosti. Když to kontrolní orgán zjistí, může být na základě správní žaloby a soudního rozhodnutí vrcholový manažer „odstaven“ až na šest měsíců.

Po vedení firem návrh zákona koncipovaný podle NIS2 žádá trvalou, ne jednorázovou angažovanost. Jedno školení nestačí, odpovědní pracovníci budou muset být aktivní průběžně. „Každý rok musí na vedení reportovat, jaká byla přijata opatření, v jakém jsou stavu, jaký je plán. Vedení za to všechno přebírá odpovědnost. A to je zásadní impulz, díky kterému by směrnice a legislativní povinnost nemusely zapadnout,“ vyjádřil Štros víru, že český byznys se nové povinnosti zhostí.

Související