Počet kyberútoků na firmy neustále přibývá a podle některých průzkumů se s nimi setkalo až 90 procent světových firem. Výjimkou nejsou ani ty evropské, včetně českých. I proto se Evropská unie rozhodla situaci řešit a před časem přišla s novou směrnicí, která má firemní prostředí na celounijní úrovni zrobustnit a připravit na budoucnost. Ta totiž může z pohledu kyberbezpečnosti přinést ještě větší výzvy než doposud.

Směrnice se nazývá NIS 2 a navazuje na její předchůdkyni NIS 1 z roku 2016Jejím cílem je vyřešit dlouhodobý problém s nedostatečným kybernetickým zabezpečením podniků a institucí působících na území EU. Mělo by tak dojít k vytvoření jednotné strategie, která umožní efektivnější obranu a reakci proti kyberhrozbám. Unie také chce, aby se vyrovnaly rozdíly v digitálním zabezpečení firem a mezi jednotlivými odvětvími.

Přestože se o nové evropské regulaci ví už delší dobu, řada tuzemských firem na ní není podle expertů připravena. Ty, které problematiku intenzivně řeší, pak zjišťují, že jim implementace norem zabere více práce než čekaly. O tom, jak k problematice přistoupit a co v praxi přinese, hovořili v rámci debaty HN Miloslav Rut, partner poradenské společnosti Moore Technology CZ, Josef Donát, partner advokátní kanceláře Rowan Legal, a Miroslav Kuric, konzultant pro digitalizaci průmyslu ve společnosti Siemens ČR.

„Existují sektory, které dosud nebyly regulovány a s nástupem NIS 2 nově budou. Pro některé z nich to může být problém, protože šíře požadavků je značná. Je to pro ně ale příležitost, jak zvýšit míru svého zabezpečení v online prostoru: regulace jim poskytuje plán, systematiku a strategii,“ říká Donát. Výhodu v tomto směru mají firmy, které již dříve regulovány byly, byť i jejich povinnosti se rozšiřují. Jde například o banky, energetické či telekomunikační společnosti.

Rozpočty pod tlakem

Celkově nová regulace zasáhne mezi šesti až devíti tisíci firmami v Česku. Povinnosti jsou tak značné, že Národní úřad pro kybernetickou a informační bezpečnost vypracoval pro jejich zavedení do českého právního řádu nový zákon. Podle Donáta k jeho schválení dojde později, než se původně čekalo, nejdříve na konci tohoto roku. Následně poběží lhůta, během které se firmy budou muset na nová pravidla – platná od roku 2026 – připravit. 

„Proto je potřeba už nyní plánovat rozpočty pro roky 2025 i 2026 a počítat v nich se zvýšenými náklady. Pokud tak neučiní, budou si muset následně shánět financování externě, což bude složitější a bude jim hrozit, že změny nestihnou včas zavést,“ upozorňuje Rut. Zvýšené náklady firem budou podle něj způsobeny primárně tím, že budou muset nabírat nové pracovníky s expertizou na kyberbezpečnost. Těch je ale na trhu dlouhodobě nedostatek, což výrazně zvyšuje nároky na jejich platové ohodnocení. Jednou z možností je i outsourcing některých procesů na externí dodavatele.

Firmy zvýšené náklady mohou pokrýt částečně i načerpáním státních dotací. „V národním plánu obnovy je masivní objem peněz, o které si podniky mohou žádat, a to s nulovou anebo minimální spoluúčastí. Zmínit lze i operační program OP TAK spadající pod ministerstvo průmyslu a obchodu,“ doporučuje Rut. 

Regulace bude celkově zahrnovat až 60 služeb z 18 sektorů, čímž v Česku dopadne na šest až devět tisíc subjektů. Týkat se však bude i veřejné sféry, například ministerstev, státních úřadů, ale i vysokých škol či vědeckých institucí. 

Zdali subjekt poskytuje regulovanou službu, zjistí z vyhlášky, kterou již dříve publikoval Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). To samotné ale nestačí, ještě je nutné, aby firma splňovala alespoň jeden ze dvou základních parametrů. U firem z první a přísněji regulované skupiny půjde o to, zdali mají více než 250 zaměstnanců a obrat vyšší než 50 milionů eur (přibližně 1,27 miliardy korun). Pro firmy s o něco nižšími požadavky je parametr nastaven na více než 50 zaměstnanců a obrat vyšší než 10 milionů eur (zhruba 253 milionů korun).  

Velká výzva hlavně pro výrobní firmy

Zvláštní pozornost budou muset požadavkům NIS 2 věnovat firmy zabývající se například výrobou zdravotnických pomůcek, potravin, nápojů, elektroniky, strojů, ale i motorových vozidel. U nich nejsou výrobní procesy napojeny primárně na IT systémy, jako třeba v bankách či telekomunikačních firmách, nýbrž na takzvané OT systémy (z angl. Operations Technologies).

Ve výrobách těchto podniků najdete i dvacet let staré stroje, u kterých nedává ekonomicky smysl je nahrazovat, protože pracují spolehlivě a splňují svůj účel. Implementovat do nich nějakou modernější kyberbezpečnostní technologii je ale technicky nesmírně složité, u některých strojů je to v podstatě nemožné. Takže to bude pro tyto firmy největší výzvou“ varuje Kuric. Zavádění takových postupů navíc podle něj trvá násobně déle. „Pokud s tím nezačaly už nyní, i rok 2026 je z pohledu včasného zavedení nových požadavků v ohrožení.“

Regulované firmy navíc budou muset kontrolovat i míru kyberzabezpečení jejich subdodavatelů. Pokud tomu tak nebude, budou s nimi muset firmy ukončit spolupráci podobně, jako je tomu v případě povinností vyplývajících z pravidel o udržitelnosti ESG a snižování uhlíkové stopy. „Ta paralela je podobná. I zde je nutné se partnerů v podnikání ptát, jak mají nastaveny procesy s ohledem na ochranu dat a IT systémů. Případné nedostatky mohou koncové odběratele ohrozit,“ říká Rut. 

V případě, že je výrobní, ale i jakákoliv jiná firma s NIS 2 stále ještě „na zelené louce“, je podle zmíněných odborníků nejlepší prozkoumat edukační stránky NÚKIB, kde je přehledná infografika. V praktické části je pak podle Ruta nejlepší začít s GAP analýzou. „V ní si definujete svá aktiva, u nich určíte rizika a na základě toho pak vyvodíte opatření, kterými budete aktiva chránit. To se propíše do dokumentace a dále do organizačních, personálních a technologických opatření.“

Pozor na vysoké pokuty

Důležité je také kontinuální vzdělávání, a to nejen řadových pracovníků ve firmě, kteří jsou často nejslabším článkem v kyberzabezpečení firem, ale i top managementu. Firmám v případě nedodržení základních pravidel NIS 2 hrozí pokuty od desítek do stovek milionů korun, a to v závislosti na obratu dané společnosti. „Postihy ale hrozí i samotnému vedení, například v tom, že některým členům odpovídajícím za digitální bezpečnost může hrozit pozastavení činnosti,“ upozorňuje Donát.

Na dodržování pravidel bude dohlížet NÚKIB. Tomu navíc firmy budou muset hlásit případné kyberbezpečnostní incidenty. „O to více se jim budou snažit předejít, protože je to pro ně velké reputační riziko,“ říká Kuric. Podle Donáta je nyní legislativa napsána dobře a její výhodou je, že bude moci být postupně vylepšována, nejde tedy o ukončený proces. Jde o to, aby byla schopna reagovat na postupný vývoj AI i kvantových počítačů, které budou z pohledu kyberbezpečnosti vytvářet další výzvy. „Tyto technologie budou firmy do budoucna ohrožovat, současně se ale stanou také prvkem, který tu obranu samu také vylepší,“ zmiňuje Kuric.

Partnery debaty jsou společnosti Siemens, Rowal Legal a Moore Technology CZ.