Rozsáhlý regulační proces z EU v Česku zasáhne tisíce nepřipravených firem

Firmy i státní instituce v Česku se musí v posledních letech stále ve větší míře vypořádávat s hrozbou kybernetických útoků. Jejich počet se významně zvýšil zejména během covidových let 2020 a 2021, kdy se masivně zrychlila digitalizace soukromého i veřejného sektoru. Tento trend ještě více posílilo vypuknutí války na Ukrajině na počátku roku 2022, kdy se následně Západ musel kolektivně obrnit proti zvýšené aktivitě proruských či přímo ruských hackerských skupin.

Zvýšený počet kyberútoků potvrzují i aktuální čísla Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Ten v říjnu zaznamenal 47 incidentů, což je nejvyšší měsíční hodnota za celou dobu evidence. Tři z nich byly klasifikovány jako významné, zbylých 44 bylo méně významných. Ve většině případů šlo o takzvané DDoS útoky, jejichž cílem je zahlcení vybraných serverů velkým množstvím požadavků, což vede k jejich vyřazení. Došlo též k evidenci devíti ransomwarových útoků – i to je rekordní počet za jeden měsíc. Ransomware je škodlivý program blokující počítačový systém nebo šifrující data v něm zapsaná. Útočníci pro odblokování většinou požadují výkupné.

HN BeNative

Vidím jako velký problém, že chybí definitivní podoba zákona o kyberbezpečnosti

▪ 7 min. čtení

Státy EU včetně Česka nárůst kyberútoků s postupující digitalizací odhadovaly. I proto na konci roku 2020 představily strategii s názvem EU Cyber Security Strategy for the Digital Decade (volně přeloženo jako Strategie EU v oblasti kybernetické bezpečnosti pro digitální dekádu). A v jejím rámci postupně schvalují nové regulace s cílem výrazně zvýšit úroveň kybernetické bezpečnosti na jednotném trhu.

„Tyto regulace představují pro evropské firmy a instituce významnou výzvu, ale zároveň i příležitost ke zvýšení své odolnosti vůči stále sofistikovanějším kyberhrozbám,“ říká Jan Pich, kyberbezpečnostní manažer oddělení technologického consultingu a IT ve společnosti EY Česká republika.

NIS2 a co dál?

Nejdiskutovanější v posledním roce je směrnice NIS2. Ta rozšiřuje a zpřísňuje požadavky na kyberbezpečnost v klíčových sektorech, jako je energetika, doprava, zdravotnictví či finanční služby. Pro firmy a státní instituce mimo jiné zavádí povinnost hlásit incidenty a současně je nutí k přijímání opatření, jež povedou k minimalizaci dopadů kyberútoků a také zvýšené prevenci.

To ale není zdaleka jediná regulace. Velmi podobnou směrnicí, která stejně jako NIS2 nabyla účinnosti loni v lednu, je i CER (Critical Entities Resilience). Ta se zaměřuje konkrétně na subjekty kritické infrastruktury – například v oblasti energetiky, dopravy či zdravotnictví – a také má za cíl je zrobustnit tak, aby případné útoky měly jen minimální dopad na chod celé společnosti. Tyto subjekty by měly být odolnější vůči hrozbám souvisejícím nejen s kybernetikou, ale i s přírodními riziky, teroristickými a hybridními útoky či různými druhy sabotáží.

NIS2 i CER jsou směrnicemi, což znamená, že členské státy mají povinnost transponovat požadavky z nich vyplývající do svých vlastních právních řádů. „Čas na transpozici obou směrnic byl do poloviny letošního října, přičemž tento termín nebyl dodržen. To ale není výjimečný stav, podobně je tomu ve velké části dalších států EU,“ říká Eliška Kühnerová, expertka na kyberbezpečnost v poradenské společnosti KPMG.

Zatímco NIS2 je v Česku transponována prostřednictvím zákona o kybernetické bezpečnosti, jehož finální podobu nyní projednávají poslanci, požadavky vyplývající z CER budou promítnuty do nového zákona o odolnosti subjektů kritické infrastruktury a jeho zněním se parlament bude teprve zabývat.

Kromě směrnic i nařízení

EU však postupně zavádí i další právní normy, takzvaná nařízení. Ta mají obecnou působnost a na rozdíl od směrnic nevyžadují přímou implementaci do legislativy členských států. Jsou tedy přímo použitelné v celém svém rozsahu.

Takovým nařízením je například DORA (Digital Operational Resilience Act). Zaměřuje se na kybernetickou odolnost speciálně pro firmy ve finančním sektoru. Banky, pojišťovny anebo investiční společnosti budou muset zavést robustní systémy pro řízení incidentů, pravidelně provádět stresové testy a zajistit kontinuitu svých služeb. Obdobně jako u NIS2 budou požadavky dopadat přeneseně i na dodavatele ICT a IT služeb těchto finančních subjektů. Nařízení je účinné od půlky ledna příštího roku a v Česku je součástí zákona o digitalizaci finančního trhu. Dohledovým orgánem nad dodržováním pravidel bude Česká národní banka.

Poslední z velkých regulací, které budou mít v nejbližších letech výrazný dopad na fungování evropských firem včetně těch českých, je nařízení s názvem Cyber Resilience Act (CRA). To se týká širokého spektra podniků a stanovuje požadavky na kybernetickou odolnost produktů a služeb, které tyto společnosti vyrábějí. Cílem je zajistit, aby byly navrženy a vyvíjeny s ohledem na bezpečnost koncových uživatelů. To bude mít dopad nejen na výrobce, ale i na dodavatele a distributory.

V praxi to znamená, že například výrobce chytrých mobilních telefonů bude muset před jejich uvedením na trh v EU zajistit jejich vyšší kybernetické zabezpečení. Výrobci pak za nižší zranitelnost výrobku zůstanou odpovědní po celý životní cyklus produktu. „Toto nařízení je zaměřeno zejména na ochranu koncového spotřebitele,“ říká Kühnerová.

Brzdí firmy regulace, anebo pomáhá?

Z výše uvedeného výčtu je jasné, že půjde o masivní regulační proces, který pouze v Česku dopadne na vyšší jednotky tisíc firem. Ty největší a nejdůležitější z nich pak může zavádění opatření stát i stovky milionů korun. Paradoxně ale právě tyto podniky budou mít se zaváděním nejméně problémů. Zaprvé díky svým rozpočtům a pak také proto, že už některým standardům z dřívějška vyhovují.

Nejzásadnější změna tak nastane u menších firem, které s regulací v kyberbezpečnosti nemají žádné anebo jen minimální zkušenosti. „Je to jako rozjet těžký vlak – zrychlit z 60 na 100 km/h je snazší než z nuly,“ přirovnává Pich z EY.

„Pro banku nebo velký moderní podnik budou nové regulace komplikací spíše provozního charakteru. Pro firmu, která kyberbezpečnost neřešila, to může být dohánění i 10 nebo 20 let technologického dluhu. A to navíc bez strategické vize a směru, kde začít a kudy se na této cestě vydat,“ souhlasí Petr Špiřík, partner pro kybernetickou bezpečnost v poradenské společnosti PwC.

Kybernetická bezpečnost

Stáhněte si přílohu v PDF

Společným problémem pro obě skupiny je pak dlouhodobý nedostatek odborníků v této oblasti na trhu. Zde opět platí, že zdaleka ne každá firma si bude moci dovolit mít vlastní oddělení, byť jen s pár lidmi věnujícími se kyberbezpečnosti. I v tomto ohledu budou mít větší výhody korporáty a velké firmy, které budou schopné ostatní přeplatit. Zbytek, hlavně z řad malých a středních firem, bude muset minimálně část svých služeb outsourcovat specializovaným společnostem.

Podniky budou muset také mnohem více investovat do vzdělávání svých zaměstnanců, kteří stále zůstávají nejzranitelnějším bodem v obraně proti kyberútokům. Oslovení experti i přes tyto náročnosti vidí kroky EU v oblasti regulace kyberbezpečnosti spíše jako pozitivní. Jednoduše proto, že kdyby nové právní normy nepřicházely, řada firem by toto odvětví ve svých provozech podceňovala. „Z našich průzkumů vidíme, že více než 90 procent zvýšené pozornosti a reálných investic do kybernetické bezpečnosti je u firem taženo právě regulatorikou,“ říká Špiřík.

To na jednu stranu může přispívat ke konkurenceschopnosti firem EU vůči ostatním trhům. Na druhou stranu to vznáší otázku, zdali v unii soukromý sektor nečelí přílišné přeregulovanosti. „Vnímám to jako palčivý problém. Protože tyto masivní investice znemožní firmám použít peníze na další investice do primárního byznysu a rozvoje. Přeregulovanost navíc vede i k určité mentální únavě. Příliš často v podnicích slyším rezignovaným hlasem pronést, že manažeři a majitelé chtějí dělat věci správně, ale předpisů už je tolik, že mají pocit, že jen plní nové regulace,“ upozorňuje Špiřík.

Článek byl publikován ve speciální příloze HN Kybernetická bezpečnost.