Nový zákon o kybernetické bezpečnosti podle evropské směrnice NIS2 dopadá v Česku i na Slovensku na tisíce firem napříč obory. Přináší nové povinnosti, kontrolní mechanismy a také zásadní změnu v přístupu k IT bezpečnosti. Auditor Jaromír Tvrzník v rozhovoru pro pořad Audit na platformě FocusOn vysvětluje dopad nové legislativy na firmy, kolik je příprava bude stát a proč by se manažeři měli přestat tvářit, že kyberbezpečnost je jen „černá díra na peníze“.
Transpozice směrnice NIS2 výrazně rozšiřuje okruh firem, které musí splnit specifické požadavky na kybernetickou bezpečnost. Zatímco starý zákon o kyberbezpečnosti platil od roku 2014 a dotýkal se jen stovek subjektů, dnes jde o zcela jiný rozsah: od státní správy přes automobilky, zemědělské podniky, bioplynové stanice až po strojírenské závody a další tisíce organizací.
Podle Jaromíra Tvrzníka tkví hlavní změna právě v rozsahu: „Dříve dopadal zákon jen na malý okruh strategických podniků. Nově se ocitne pod regulací přibližně šest tisíc firem. Dopad bude mnohem širší a výraznější než kdykoli předtím.“
Nejde však jen o počet subjektů. Nový zákon o kyberbezpečnosti se snaží reagovat na současné hrozby, včetně ransomwarových útoků či zneužití umělé inteligence. Tvrzník připomíná, že dnešní rizika jsou zcela odlišná od roku 2014: „Kyberbezpečnost je dnes jedno z nejdůležitějších témat. A už není otázka, jestli útok přijde, ale kdy.“
Co se mění: nové role, odpovědnosti a tlak na vedení
NIS2 přináší dva režimy: nižší a vyšší. Zatímco v nižším režimu zodpovídá za celý systém primárně vedení firmy a technické nastavení obvykle zvládne interní nebo externí IT, vyšší režim je výrazně přísnější.
„Ve vyšším režimu je nutné jmenovat architekta, manažera a auditora kybernetické bezpečnosti, a k tomu další garanční role. Tyto odpovědnosti už nejde obejít nebo spojit pod jednu osobu – například auditor nemůže být zároveň manažer kyberbezpečnosti,“ vysvětluje Tvrzník.
S tím roste i tlak na manažery, kteří se nově stávají přímo odpovědnými za úroveň zabezpečení. Kyberbezpečnost tak naráz přestává být „údržba počítačů“ a stává se součástí strategického řízení firem.
Největší slabiny firem: nezájem vedení a pohodlnost IT
I když mnoho podniků investovalo do ISO norem jako kvalita, environment či BOZP, IT bezpečnost často zůstávala na okraji. A to se nyní obrací proti nim.
Tvrzník upozorňuje, že jeho nejčastější zkušeností je nedostatek zájmu vedení:
„Pořád se setkávám s názorem, že IT je černá díra na peníze. Jenže problém se ukáže přesně tehdy, když IT přestane fungovat a stojí celá výroba.“
K tomu se přidává i laxnost některých IT pracovníků: „IT si často práci ulehčuje a vytváří si vlastní cestičky. Vynechají dvoufázové ověřování, nepoužívají VPN, nehlídají přístupy. A přesně to pak útočník zneužije.“
Výsledkem jsou zbytečné incidenty, které mohou stát stovky tisíc až miliony korun – jen na mzdách lidí, kteří kvůli výpadku „přešlapují na místě“.
Hrozí firmám pokuty? Kontroly budou, ale klíčový je jiný typ tlaku
Jedna z nejčastějších obav firem je kontrola a sankce. Podle Tvrzníka však není primárním cílem úřadů trestat: „Sankce nemají být likvidační. Důležitější je posuzovat, zda firma systém vůbec řeší, nebo ho úplně ignoruje.“
Paradoxně však spočívá největší tlak jinde – u zákazníků. Velké podniky typu energetických společností nebo automobilek budou od svých dodavatelů očekávat, že splní nové povinnosti. V opačném případě mohou přijít o zakázky.
„Zákaznické audity budou čím dál přísnější. Pokud dodáváte pro velkého hráče, jednoduše nebudete mít na výběr. Bude to tvrdší tlak než samotné státní kontroly,“ říká Tvrzník.
Kolik to bude stát: desítky tisíc, statisíce nebo miliony?
Firmy dnes nejvíce zajímá cena. A odpověď není univerzální. Záleží na režimu, stavu IT i ambicích firmy. Tvrzník rámcově odhaduje: „U nižšího režimu se firmy pohybují v desítkách až nízkých stovkách tisíc korun. Vyšší režim se může u velkých firem dostat až k milionu – ale to hlavně ve chvíli, kdy je potřeba doplnit technologie.“
Organizační část, tedy vytvoření směrnic, procesů a dokumentace, podle něj nebývá nejdražší. Náklady rostou tam, kde firma nemá připravené technické zabezpečení nebo má starou infrastrukturu.
Velkou výhodu mají organizace, které už mají například ISO/IEC 27001 nebo TISAX:
„Požadavky NIS2 z velké části vycházejí ze sedmadvacítky. Kdo ji má implementovanou v praxi, má obrovský náskok.“
Kde začít: hlavně nepanikařit a udělat vstupní analýzu
Nová legislativa dává firmám zhruba rok na přípravu. Podle Tvrzníka je klíčový první krok pořád stejný: „Hlavně nepanikařit. Je na to dost času. Zásadní je udělat vstupní analýzu – zjistit, co funguje, co nefunguje a kde máme mezery.“
Následuje plán kroků, rozdělení odpovědností a paralelní práce:
- technická opatření,
- školení lidí,
- procesy a dokumentace,
- kontrolní mechanismy, interní audity.
Firmy se tak nemusí dostat do stavu „stoprocentního plnění“ přes noc. Vše probíhá formou postupného zlepšování – podobně jako u ostatních ISO systémů řízení.
Od NIS2 k ISO certifikaci: pro některé firmy bude přechod snadný
Zajímavým benefitem je možnost přetavit práci na NIS2 do další konkurenční výhody.
„Kdo zavede vyšší režim, bude velmi blízko tomu splnit i ISO 27001. To je pro mnoho firem velká výhoda, zejména v automotive, energetice nebo při účasti v tendrech,“ doplňuje Tvrzník.
Firmy, které se tak k nové legislativě podle NIS2 postaví strategicky, mohou z investice vytěžit více než jen splnění zákona – mohou otevřít dveře k novým klientům a trhům.
Tvrzník v závěru shrnuje, že nové povinnosti nejsou důvodem k panice:
„Je mnohem lepší investovat trochu času a peněz nyní, než řešit následky útoku. A hlavně – nebrat to jako papír, ale jako systém, který firmu může reálně ochránit.“
Pořadem provází Pavol Plevják ze společnosti DQS.
Celý rozhovor si můžete pustit jako video nebo podcast:
- Jaký konkrétní typ útoků dnes firmy nejčastěji zasahuje a proč na ně nejsou připravené?
- Co je nejčastější chyba IT oddělení při nastavování bezpečnosti a jak ji odhalit?
- Jak vypadá reálný incident ve výrobní firmě a jak rychle může ochromit celou výrobu?
- Jak funguje kontrola ze strany úřadů v praxi – kdy přijde a co skutečně hodnotí?
- Co Tvrzník doporučuje podnikům, které mají omezený rozpočet, ale musí splnit NIS2?
Autor: redakce
FocusOn je zpravodajský web zaměřený na nové trendy v ekonomice s důrazem na využívání moderních technologií.
