Kybernetických útoků ve světě i Česku rok od roku přibývá. Z dat Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) za rok 2023 například vyplývá, že počet vážných kyberútoků se loni meziročně téměř zdvojnásobil. Vylepšit situaci v Česku i zbytku EU by měla nová evropská směrnice NIS2, která se v tuzemsku promítne do nového zákona o kybernetické bezpečnosti.
Účinnost zákona by teoreticky měla nastat v říjnu letošního roku, vzhledem k tomu, že návrh zákona je stále na Legislativní radě vlády, lze čekat určité zpoždění. Firmy, kterých se nová regulace dotkne, by ale podle odborníků, kteří směrnici NIS2 probírali na diskusním setkání týdeníku Ekonom, neměly váhat a na nová pravidla a povinnosti se hned začít připravovat.
Debata Ekonomu
Debaty o směrnici NIS2 se zúčastnili (zleva): zakladatelka Legitas advokátní kanceláře Petra Stupková, poradce pro kybernetickou bezpečnost ve společnosti ANECT Ivan Svoboda, partner společnosti BDO Czech Republic zodpovědný za oblast technologického poradenství a kyberbezpečnosti Tomáš Kubíček a senior specialista kybernetické bezpečnosti ATS‑TELCOM PRAHA Vladimír Kaděra. Debatu moderoval šéfredaktor Ekonomu Petr Kain.
A co vlastně firmy, na něž NIS2 dopadne, čeká? Jednak budou muset vytvářet podrobné analýzy rizik a hlídat kyberbezpečnost i ve svém dodavatelském řetězci. Vyžadováno bude mimo jiné také pravidelné školení zaměstnanců, rychlé hlášení incidentů a sdílení bezpečnostního reportingu na firemní, státní i evropské úrovni. Důležitou novinkou je i nutnost použití evropského systému certifikace produktů kybernetické bezpečnosti. Za nesoulad s NIS2 přitom hrozí milionové pokuty a postihy pro topmanagement.
Pokuta je špatná motivace
Jak říká Ivan Svoboda, poradce pro kybernetickou bezpečnost ve společnosti Anect, hrozba pokut by ale rozhodně neměla být tím správným motivačním faktorem pro zavádění kyberbezpečnostních opatření. „Zapomeňte na sankce. Mnohem reálnější hrozba je, že vaši firmu napadne hacker. Tam jsou náklady mnohem větší,“ říká Svoboda. Požadavky hackerů podle něj zpravidla začínají na deseti procentech ročního obratu firmy. Vyjednáváním se sice firma může dostat na jednotky procent obratu, to je ale jen jedna část nákladů spojených s útokem. „Může se vám stát, že kvůli hackerskému útoku nebude týden, měsíc nebo třeba půl roku fungovat řada vašich služeb. A tam jdou pak náklady třeba do stovek milionů,“ vysvětluje Svoboda.
Směrnice NIS2 nejenže zavádí nová pravidla, především také rozšiřuje okruh firem, kterých se budou opatření týkat. Podle Tomáše Kubíčka, partnera společnosti BDO Czech Republic zodpovědného za oblast technologického poradenství a kyberbezpečnosti, zatím ale není možné jasně říct, kolika společností v Česku se bude nový zákon o kyberbezpečnosti týkat. Důvod je jednoduchý. Zákon je stále v Legislativní radě vlády a je možné, že některé jeho parametry se ještě změní.
Kvůli hackerskému útoku nemusí třeba půl roku fungovat řada vašich služeb. Pak jdou náklady třeba do stovek milionů.
„Minimálně by se měl zákon dotknout asi šesti až sedmi tisíc firem, ale podle toho, jak se změní parametry, může jít klidně o 10 až 12 tisíc firem,“ říká. Každopádně to bude znamenat, že počet firem, jež se budou muset ze zákona kyberbezpečností zabývat, se v Česku zhruba zdesateronásobí.
Jak říká Vladimír Kaděra, senior specialista kybernetické bezpečnosti ATS‑Telecom Praha, firmy, jichž se NIS2 a nový kybernetický zákon budou týkat, budou spadat buď do režimu vyšších, nebo nižších povinností. „Oba režimy se přitom dost výrazně liší. V tom vyšším jsou povinnosti, ať už jde o dokumentaci nebo technická opatření, stanoveny poměrně rozsáhle. Režim nižších povinností je třeba chápat spíš jako určité minimum, které musí firmy splnit,“ říká Kaděra.
Názory
Ekonomika a psychologie
Události týdne
Téma čísla
- Digitalizace českého zdravotnictví? Stále žijeme v době papírové
- Zdravotnictví přeje inovacím. České start‑upy se snaží dotáhnout na premianty
- Pomalu, přesto vpřed
Rozhovor
Další témata
- Nacisté tu montovali V1 a V2. Největší humnová sladovna světa teď prosperuje
- Karel Loevenstein: Král českého meziválečného průmyslu
- Česko si problém deficitu vytváří jen ve veřejné debatě
- Nejlepší místo pro byznys? Praha 22 a Mladá Boleslav
Investice
Právo
Lifestyle
Auto
#datavize
Podle účastníků diskuse se připravenost firem na novou regulaci výrazně liší. Zatímco velké firmy, jako třeba banky, řeší kyberbezpečnost již dávno a mají v zásadě „splněno“, ty ostatní středně velké v řadě případů zatím spíše vyčkávají. „Cítí sice, že se na ně regulace může vztahovat, ale čekají až na její konečné znění,“ říká Kaděra.
Podle zakladatelky advokátní kanceláře Legitas Petry Stupkové by se ale firmy, které mají jen trochu pocit, že by mohly spadnout do režimu vyšších povinností, měly na nová pravidla a povinnosti začít rychle připravovat. Problém by podle ní mohl nastat především při obsazování nových povinných pracovních pozic souvisejících s kyberbezpečností. Nejen v Česku, ale i v dalších zemích pro ně totiž nebude dost kvalifikované pracovní síly. „Tu práci sice bude možné outsourcovat, ale už teď by měly firmy koukat po trhu a hledat, kdo by se tím u nich mohl zabývat,“ říká Stupková.
Nejen vlastní bezpečnost
Podstatným zádrhelem může pro řadu firem být i to, že NIS2 prohlubuje povinnost hlídat si bezpečnost i dodavatelského řetězce. Jinými slovy, firmy by měly spolupracovat jen s těmi dodavateli, kteří splňují daná kritéria. „Firmy si musí jednak analyzovat, jaké je riziko, když jim určitý dodavatel v důsledku kyberútoku vypadne. Stejně tak si musí analyzovat, jak jsou jejich dodavatelé spolehliví a jestli se přes ně nemůže hacker dostat do mé vlastní firmy,“ říká Svoboda.
Zatím nevyřešenou otázkou je, jak se budou tito dodavatelé kontrolovat. „Máme zákazníka, jenž je dodavatelem několika subjektů, které spadnou do režimu vyšších povinností a všichni mu již napsali, že jej proto začnou auditovat. Jak to ale bude probíhat? To do té firmy budou všichni tito odběratelé posílat vlastní týmy auditorů? To není představitelné,“ říká Kubíček.
Firmy by si každopádně již dnes měly testovat, jak jsou schopné se s případným kyberútokem popasovat. „To je samozřejmě důležitější než mít v pořádku papíry týkající se kyberbezpečnosti. Na ty se vás hacker opravdu ptát nebude,“ říká. Podle Tomáše Kubíčka by proto měly firmy podstoupit externí test zranitelnosti, nechat se nezávislými experty otestovat, co by se stalo, kdyby se na ně nějaký hacker skutečně zaměřil. „Když máte výrobní fabriku, taky ji oplotíte, postavíte si vrátnici a řídíte, koho do továrny pustíte. Když se dnes byznys odehrává v kyberprostoru, tak tam musíte udělat obdobná opatření,“ říká Kubíček.
Jak zdůrazňuje Stupková, každá firma by si měla uvědomit, že péče o kyberbezpečnost není jednorázový úkol, který si lze k určitému datu odškrtnout a pak si dát nohy na stůl. „Je to způsob života, který do firmy musíte zavést,“ říká.