Evropská unie vyrazila do boje proti kybernetickým útokům a chystá se uvést do praxe sérii nařízení zaměřených na digitální bezpečnost firem, úřadů a institucí. Česko se aktuálně připravuje především na implementaci směrnice NIS2, která má novelizovat aktuálně platný zákon o kybernetické bezpečnosti. Už teď je zřejmé, že její plánované schválení do konce letošního roku se nestihne, pravděpodobnější termín přijetí je polovina roku 2025. To ale neznamená, že by se organizace neměly na novou regulaci připravovat už teď.
O tom, co budou nová pravidla obnášet a koho se budou týkat, přišli do studia Hospodářských novin debatovat odborníci na legislativu a kyberbezpečnost. „Zákon se velmi dotýká například telefonních operátorů, kteří mají být více regulovaní. V návrhu se objevují sporné body týkající se toho, zda budou mít povoleno nebo zakázáno přijímat zboží od konkrétních výrobců,“ vysvětlil průtahy v projednávání zákona Radim Trávníček, espoluzakladatel společnosti BeSecured zaměřené na informační a kybernetickou bezpečnost.
Děláme si to přísnější, než je potřeba?
Tlak na zmírnění požadavků na prověřování dodavatelského řetězce přichází také ze strany Hospodářské komory. Někteří kritici se obávají takzvaného gold‑platingu, tedy toho, že si evropskou směrnici v rámci její implementace do českého právního prostředí zbytečně zpřísňujeme a snižujeme tím konkurenceschopnost tuzemských firem.
Experti ale oponují, že už je běžnou praxí, že se prověřuje, zda některé produkty typicky z Číny neohrožují bezpečnost. „Například ve Spojených státech jsou tyto mechanismy naprosto běžné. V porovnání s právní úpravou v zahraničí jsou naše navrhované požadavky spíše mírné,“ dodal k připravované novele zákona Jiří Císek, řídící partner advokátní kanceláře Cisek.
Bezpečnostní opatření v oblasti informačních technologií navíc bude po firmách požadovat nejen legislativa, ale i vývoj trhu a mezinárodní standardy. „Firma, která v současné době neřeší svou kyberbezpečnost, vlastně nemá zájem udržet se na trhu a přežít,“ shrnul to Vladimír Kaděra, senior specialista kybernetické bezpečnosti ve společnosti ATS‑Telcom Praha.
Spíš než zákon pud sebezáchovy
Oproti současné právní úpravě se NIS 2 bude vztahovat k většímu množství organizací. „Myslím, že se regulace bude přímo týkat zhruba deseti tisíc českých společností,“ odhadl Trávníček. Kritériem přitom není jen velikost firmy, ale také odvětví, ve kterém působí. Podle účastníků debaty podniky často vůbec nevědí, zda se jich nová pravidla budou týkat. „Firmy by si měly udělat sebeidentifikaci, ideálně k tomu pozvat nějakého konzultanta,“ doporučil Císek s tím, že v kritériích zařazení jednotlivých firem do příslušných kategorií jsou i skryté nuance. „Může jít například o fotovoltaiku. Firma si vyhodnotí, že regulovaným subjektem není, jenže má na svém výrobním závodě solární panely, pro které si musela vyřídit licenci energetického regulačního úřadu. A rázem se může stát regulovaným subjektem v oblasti energetiky, i když to není její hlavní byznys,“ uvedl jako příklad.
Orientačně si tuto sebeidentifikaci mohou firmy ověřit na webu Národního ústavu pro kybernetickou bezpečnost, kde je k tomu vytvořena online kalkulačka. Zda se na firmu budou, nebo nebudou vztahovat nová pravidla, ale není v debatě o zabezpečení rozhodující. „Firmy, které v určitém rozsahu provozují IT, by se měly zabývat kybernetickou bezpečností bez ohledu na to, zda podle zákona jsou, nebo nejsou regulovanou organizací. Měly by to dělat z pudu sebezáchovy,“ připomněl Kaděra.
Nemusí přitom jít o drakonická nebo předražená opatření, spíše se jedná o revizi základních mechanismů, které by měly být nastavené adekvátně k případným rizikům. „U řízení rizik to prakticky začíná,“ popsal doporučený postup Trávníček. „Firma musí vědět, s jakými daty pracuje, jaké má technologie, kde jsou jaké hrozby.“
Stáhněte si přílohu v PDF
Podle toho si pak firma sestaví plán a nastaví systém zálohování. „Potom je potřeba ty škodlivé situace vyhledávat. Hlásit incidenty, vzdělávat lidi, aby události nahlašovali,“ zdůraznil Trávníček. „Když daná společnost usoudí, že základní pravidla dodržuje a bezpečnost má dobře nastavenou, tak by si to měla zdokumentovat, aby se při výměně lidí neztratilo know‑how,“ doplnil další doporučení Kaděra. Důležitá je podle obou expertů také podpora vedení. Kyberbezpečnost by ve velkých společnostech neměl mít na starosti řadový IT pracovník, ale manažer, který dokáže vnést do celé organizace bezpečnostní kulturu.
Podle odborných odhadů je většina firem v Česku na relativně dobré kyberbezpečnostní úrovni. „Často jsou v zabezpečení i dál, než to požaduje chystaný zákon. Jenom to třeba nemají zdokumentované,“ poznamenal Císek. Podle jeho zkušeností takovým firmám prospěje počáteční konzultace s odborníkem, který jim poradí, jak si stanovit rozsah řízení, a může je také odradit od nákupu zbytečně drahých a nepotřebných řešení.
Účastníci debaty se shodli na tom, že obavy z chystané novely zákona nejsou namístě. Bezpečnostní kritéria definovaná tímto zákonem mohou být naopak užitečným standardem pro hodnocení konkrétních opatření a motivací pro firmy i veřejné instituce, aby se ochraně svých dat a informačních systémů věnovaly i z jiných než legislativních důvodů.
Článek byl publikován ve speciální příloze HN Kybernetická bezpečnost.
Přidejte si Hospodářské noviny
mezi své oblíbené tituly
na Google zprávách.
Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.
- Veškerý obsah HN.cz
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Ukládejte si články na později
- Všechny články v audioverzi + playlist
