„Předpisová základna tohoto zákona je opravdu rozsáhlá, zahrnuje více než 35 politik a směrnic, které firmy musí sepsat,“ upozorňuje Vlad Cohen, který k usnadnění tohoto procesu spoluzaložil a řídí platformu AuditMaster. Ta využívá umělou inteligenci k tomu, aby sladila požadavky zákona s konkrétní podnikovou dokumentací a urychlila adaptaci dané firmy na nové bezpečnostní nároky.
Nová legislativa zpřísňující požadavky na kybernetickou bezpečnost se bude týkat tisíců firem, z nichž mnohé to ještě ani netuší. Jak zjistí, zda mezi ně patří, nebo ne?
Už teď si mohou provést sebeurčení na portálu Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) nebo se obrátit na odborníky, případně na své právníky, kteří posoudí, zda se na ně připravovaná legislativa vztahuje a v jakém režimu. Může se stát, že se firma do této kategorie zařadí na základě své vedlejší činnosti nebo kvůli tomu, že má výkonnou fotovoltaiku. Dá se očekávat, že některé firmy přehodnotí rozsah svého podnikání uvedený v obchodním rejstříku, aby se zařadily do režimu s nižší mírou regulatorních povinností.
Ujel podle vás vlak firmám, které s přípravou na nová pravidla kyberbezpečnosti ještě nezačaly?
To je velmi individuální. Záleží na tom, zda bude firma spadat do vyššího, nebo nižšího režimu, a také na její velikosti, komplexitě a současném stavu zabezpečení. Pokud to firma dosud neřešila vůbec a bude spadat do vyššího režimu, tak ji čeká intenzivní práce na celý rok. Zákon v červnu prošel Senátem a nyní čeká na podpis prezidenta. Očekávám, že nová sbírka zákonů vyjde na začátku srpna a poté mají firmy šedesátidenní lhůtu na to, aby se přihlásily k tomu, že se na ně zákon vztahuje. Další rok pak mají na přípravu požadovaných kyberbezpečnostních opatření.
Znamená to, že za rok od zahájení této lhůty už musí všechny požadavky NIS2 splňovat?
Zákon stanovuje, že poskytovatelé regulovaných služeb musí do jednoho roku přinejmenším se zaváděním bezpečnostních opatření začít. Požadavky zákona o kybernetické bezpečnosti směřují k neustálému zlepšování informační bezpečnosti, je to proces, který nikdy nekončí.
Jak na tom obecně české firmy jsou z hlediska kybernetického zabezpečení?
Ze zkušeností s firmami, se kterými spolupracujeme, mohu říci, že střední a větší podniky bývají po technické stránce dobře vybavené a mají kybernetickou ochranu systematicky řešenou. Nicméně z pohledu systému řízení bezpečnosti se zde často vyskytují zásadní nedostatky, zejména v oblastech řízení aktiv, řízení rizik, kontinuity činností a řízení dodavatelů. Pro naplnění požadavků zákona o kybernetické bezpečnosti je však klíčové prokázat auditovatelným způsobem, že bezpečnost je řízena systematicky a kontinuálně. To zahrnuje existenci bezpečnostních politik, směrnic, procesní dokumentace, řízení rizik a dalších organizačních opatření. Většina firem tyto prvky buď vůbec nemá, nebo má jen velmi základní nastavení. Největší část práce je tedy čeká právě v oblasti organizačních opatření.
Je vůbec na trhu dostatek odborníků, kteří by na požadovanou úroveň dostali najednou tisíce firem?
Samozřejmě ne. V ideálním světě by to teď šest tisíc subjektů začalo poctivě řešit a kapacity by k tomu nebyly. Realita je ale jiná, to jsme viděli už při implementaci zákona o ochraně osobních údajů. Řekl bych, že jsou v Česku čtyři skupiny firem. Jedna už se svědomitě připravuje na to, aby požadavky splňovala. Druhá se do toho pustí poté, co zákon oficiálně vejde v platnost. Třetí to začne řešit až v době, kdy se objeví kontroly a pokuty. A čtvrtá skupina začne řešit implementaci až ve chvíli, kdy se dostane do problémů.
Co hrozí firmám, které nebudou požadavky nového zákona splňovat?
Kontroly má provádět NÚKIB a avizované pokuty mohou dosáhnout 10 milionů eur nebo dvou procent z celosvětového obratu. Osobně si ale myslím, že takové sankce padat nebudou, ani za GDPR nikdo tak vysokou pokutu nedostal. Přesto jsem přesvědčen, že dostát požadovaným nárokům se vyplatí. Zákon ukládá chránit se proti kybernetickým útokům, takže to, co firmám reálně hrozí, není ani tak pokuta, jako napadení nebo ztráta kredibility.
Investice do větší odolnosti firmu posune o několik úrovní výš a řízení rizik je skutečně alfou a omegou bezpečného fungování jakékoli společnosti, pokud chce být důvěryhodná pro své zahraniční partnery a pro účast ve výběrových řízeních. Jde totiž nejen o ochranu před kybernetickými útoky, ale také o plán kontinuity činností, který zajišťuje chod firmy v případě jakékoli neočekávané události. Zákon o kybernetické bezpečnosti zvýší povědomí veřejnosti, a podnikatelé tak budou muset dbát na ochranu dat i v zájmu důvěry svých zákazníků.
Jak může s přípravou na NIS2 pomoci umělá inteligence?
Volně dostupné služby jako ChatGPT pochopitelně velmi omezeně. Ale my jsme ve spolupráci s odborníky z firmy Whirr Crew vyvinuli nástroj AuditMaster, který za pomoci umělé inteligence dokáže posoudit soulad firemních dokumentů s aktuální legislativou. Tento software zautomatizuje potřebné analýzy, což podnikům výrazně sníží náklady na procesy, které by jinak musely provádět zdlouhavě a neefektivně. Na českém trhu nevím o žádném jiném nástroji, který by tohle nabízel.
A v zahraničí?
Tady je potřeba si uvědomit, že NIS2 je sice evropská směrnice, ale její zakomponování do legislativy jednotlivých států má svá specifika. A v případě Česka je opravdu unikátní, české pojetí toho zákona je dost komplexní, takže firma potřebuje mít nástroj, který se specializuje právě na českou právní úpravu.
Co všechno takový nástroj umí?
V první řadě pomůže s rozdílovou analýzou, tedy s porovnáním, jak stávající dokumentace odpovídá požadavkům zákona. Poté navrhne plán nápravných opatření. Firmy, které zatím žádnou dokumentaci nemají, provede postupem přípravy krok za krokem a poskytne jim předpřipravené šablony. Pomůže ale i s následnou dlouhodobou správou systému. Ta obnáší řízení aktiv a rizik, analýzu dopadů na podnikání, správu dodavatelů a případně také hlášení bezpečnostních incidentů.
Stáhněte si přílohu v PDF
Nahradí takový software odbornou asistenci specialistů na kyberbezpečnost?
To rozhodně ne. Odborný konzultant – ať už interní, nebo externí – je v tomto procesu nenahraditelný. Rozdíl je ale v tom, že když takový expert bude dělat například rozdílovou analýzu standardním způsobem, tedy porovnávat každý ze stovek požadavků s příslušným dokumentem firmy, bude to podstatně delší a dražší proces, než kdyby k tomu využil chytrý software, jako je AuditMaster.
Jaký další vývoj očekáváte v oblasti kyberbezpečnosti a jak se na něj připravit?
Z geopolitického pohledu bohužel všechno nasvědčuje tomu, že kybernetických útoků bude dál přibývat, už teď je meziroční nárůst téměř dvacetiprocentní. Zvyšování požadavků na ochranu je proto velmi logické. Z legislativního pohledu můžeme určitě počítat s dalším zpřísňováním v rámci NIS3 a obecně s pokračujícím tlakem na zabezpečení i těch firem, které do aktuálně platné legislativy zatím nespadají. Donutí je k tomu mimo jiné tendry a zahraniční partneři, kteří budou příslušné standardy stále více vyžadovat.
Text vznikl ve spolupráci se společností Whirr Crew.
Článek byl publikován ve speciální příloze HN Kybernetická bezpečnost.
Přidejte si Hospodářské noviny
mezi své oblíbené tituly
na Google zprávách.
Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.
- Veškerý obsah HN.cz
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Ukládejte si články na později
- Všechny články v audioverzi + playlist
