Začíná platit nový zákon. O kyberbezpečnost se musí starat nejvyšší management

V listopadu začíná platit nový zákon o kybernetické bezpečnosti. Jedním z prvních kroků u firem, kterých se nové povinnosti týkají, je formální nahlášení se Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). „Dále se firmy musí připravit na shodu s novým zákonem, která by měla nastat do 12 měsíců po nabytí účinnosti,“ řekl Roman Kropáč, manažer obchodního rozvoje společnosti ICZ, v zářijové debatě Hospodářských novin. Nový zákon bude dopadat na větší množství organizací než doposud. Ty budou povinny například nahlásit kontaktní údaje lidí odpovědných za kybernetickou bezpečnost ve firmě, postupně zavádět bezpečnostní opatření nebo hlásit kybernetické útoky a další incidenty. Stále se ovšem v Česku čeká na vyladění prováděcích předpisů nového zákona.

Nové povinnosti spojují IT pracovníky

Česko je jednou z prvních zemí v EU, které zvládly pomocí zákona transponovat evropskou směrnici NIS2. „Je to dáno vyspělostí IT v Česku a z byznysového pohledu je to dobře,“ zhodnotil další z diskutujících Martin Bratičák, regionální ředitel Zyxel Networks pro střední a východní Evropu. Nový zákon se týká zhruba šesti tisíc organizací a firem v Česku.

„Pomáhá nám to otevírat debaty o tom, jestli naši koncoví uživatelé mají bezpečnost na takové úrovni, aby odpovídala požadovaným normám. Je to fenomén, který si za vzor mohou vzít i ostatní firmy, jichž se zákon netýká. Bezpečnost je v IT vyšší dívčí a je většinou doménou jen bezpečnostních systémových inženýrů, zbytek IT pracovníků tomu nerozumí,“ podotkl Bratičák. Dodal, že to vždy byly uzavřené komunity, které se mezi sebou nebavily. Teď je bezpečnost a směrnice NIS2 veřejné a v IT komunitě velmi diskutované téma.

Souhlasil s tím i třetí z diskutujících, Vladimír Kaděra, seniorní specialista kybernetické bezpečnosti z ATS‑Telcom Praha. „Firmy se do kyberbezpečnosti začínají nořit, zjišťují, jak mají nastavené své prostředí, smlouvy, servisy. Pořád u nich však přetrvává názor, že bezpečnost je něco, co jim komplikuje existenci. Někdy nás žádaly: Poraďte nám, jak neplnit. Teď se ale začíná myšlení výrazně posouvat,“ pozoruje Kaděra.

Firmy někdy zjišťují, že určitý proces je sice správně popsaný v procesním modelu, ale v realitě funguje jinak. A také jejich IT podporuje nesprávný postup. „Pak to způsobuje potíže narovnat prostředí tak, aby odpovídalo a bylo připravené pro další rozvoj,“ upozornil Kaděra.

Už na začátku vtáhnout do hry management

Jak tedy mají firmy nové povinnosti naplnit? Roman Kropáč doporučuje nejprve si vytipovat priority. Mít na začátku jasno, kde jsou největší rizika a co je třeba zalepit nejdříve. „Důležité je také už na začátku vtáhnout do hry management. Bude se vynakládat úsilí i finance na věci, které nejsou úplně viditelné. Managementu je třeba vysvětlit, že se to dělá nejen proto, že to požaduje zákon. Když chráním byznys, zajímá mě, jestli mám výpadek pět minut, protože mám vše dobře nastavené, nebo mě incident může ohrozit tak, že nebudu vyrábět zboží 14 dní,“ radil Kropáč.

Nový zákon vyžaduje, že za kyberbezpečnost musí být zodpovědný konkrétní člen vedení firmy. Management se o splnění podmínek zákona bude snažit zřejmě i proto, že v případě jejich nedodržení hrozí vysoké pokuty. „Mohou dosáhnout až deseti milionů eur či dvou procent celosvětového obratu firmy. A je to tak v pořádku,“ zhodnotil Bratičák.

Diskutující probírali také otázku, kde jsou firmy kyberneticky nejvíce zranitelné. Vladimír Kaděra zmínil nechráněné systémy z hlediska aktualizací. „To musí být ve firmách podchycené a musí být správným způsobem zajištěna implementace opravných balíčků, případně upgrade softwaru. U firem, které dosud nebyly pod regulací a nemají to zajištěné, se může stát, že ze setrvačnosti používají staré, nepodporované programy, které nemají poslední bezpečnostní záplaty. To jsou pak pro útočníky otevřené dveře,“ varoval Kaděra. I proto je podle Kaděry dobře, že zákon obsahuje povinnost společností provádět testy zranitelnosti.

Debata se stočila i k dalšímu z důležitých témat kyberbezpečnosti, a to hrozícímu nedostatku expertů. „Bude nedostatek odborníků, kteří by tomu opravdu rozuměli, a firem, které by byly schopny dělat bezpečnostní audity. A tady by mohla být velkým pomocníkem umělá inteligence,“ je přesvědčen Bratičák.

Kropáč shrnul, že AI již pomáhá, ale není to bez zdviženého prstu. „Je nutné dbát pravidel, načíst si evropskou regulaci AI Act. Je to věc, která nás bude potkávat víc a víc. My a nám podobní integrátoři se u zákazníků snažíme budovat obchodní případy, na kterých pochopíme jejich byznysovou potřebu a pokusíme se ji naplnit pomocí nějakého automatizovaného nástroje AI, machine learningu a podobně,“ popsal Kropáč.

Diskutující řešili také otázku, jestli nastupující regulace kyberbezpečnosti evropský průmysl brzdí, nebo jestli se jedná o správný krok. „Firmy to mohou brát jako konkurenční výhodu. Například s certifikací bezpečnosti informací budou pro své zákazníky mnohem zajímavější než konkurence, která ho mít nebude. Přitom taková certifikace bude stát zlomek peněz a úsilí navíc oproti tomu, co požaduje směrnice NIS2,“ doporučil Kropáč.

Partnery debaty jsou společnosti ATS-Telcom Praha, ICZ a Zyxel Networks.