Od listopadu loňského roku platí v Česku nový zákon o kybernetické bezpečnosti. Některé firmy ale pořád nevědí, že i na ně se vztahuje povinná registrace a plnění bezpečnostních opatření. „Stále je hodně firem, které si myslí, že přece nedělají nic důležitého, takže se registrovat nemusejí,“ upozornila v debatě HN Kateřina Hůtová, manažerka kybernetické bezpečnosti ze společnosti Cybrela.
Firmy, na které se povinnost vztahuje, mají být zaregistrované u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) už několik měsíců. Opozdilcům ale pravděpodobně ještě nehrozí penalizace. „Myslím, že zatím není potřeba, aby se firmy bály,“ dodal Vladimír Kaděra ze společnosti ATS‑Telcom Praha. I když pokuty za nedodržení předpisů mohou dosáhnout až 250 milionů nebo dvou procent celosvětového obratu firmy, NÚKIB zatím rozdává spíše výzvy k nápravě než tresty.
Nahlášení je ovšem jen prvním krokem. Poté co NÚKIB potvrdí registraci, má firma rok na to, aby zajistila implementaci technických i organizačních opatření, včetně procesů zvládání kyberbezpečnostních incidentů. „Co ale musí udělat hned po registraci, je reagovat na nápravná opatření, která vydává NÚKIB,“ zdůraznil Kaděra.
Nemusíte mít všechno, jděte k podstatě
Do nového bezpečnostního režimu není nutné převést celý podnik najednou. Prioritou by měly být oblasti, kvůli kterým firma do regulace spadá.
„Organizace by si především měla stanovit rozsah opatření, tedy co bude regulovat a v jaké míře. Gap analýza je logicky dalším krokem,“ popsal obvyklý průběh adaptace firem na nová pravidla Jiří Císek, řídící partner společnosti AK Cisek.
Zmínil ale i situace, kdy je úroveň kyberbezpečnosti ve firmě tak nízká, že se gap analýzu ani nevyplatí dělat. „Zjistili byste, že nemáte nic, a to už víte,“ poznamenal Císek. V takovém případě je podle něj lepší stanovit rozsah, připravit analýzu rizik a začít rovnou zavádět bezpečnostní opatření.
Nejtvrdším oříškem bývá pro firmy sestavit si analýzu dopadů na podnikání, tedy plán, který předvídá následky případných výpadků. K tomu je totiž potřeba sladit potřeby různých subjektů napříč firmou.
„Důležité je pak pohlídat si plán obnovy po havárii a plán kontinuity činností, aby firma mohla po případném incidentu co nejrychleji začít fungovat a vydělávat,“ podotkla Hůtová.
Varovala také před všespásnými balíčky, které slibují firmám, že za ně všechny požadavky spojené s NIS2 vyřeší jeden nástroj. „Zákon neříká, že musíte zavádět všechno. Mnohem užitečnější je zaměřit se na to, co firmě dává smysl a co jí reálně pomůže,“ doporučila Hůtová.
Kyberšmejdi a hackeři se činí. Češi věří, že by se jim ubránili. Data ale říkají něco jiného
Aby se NIS2 nažral a firma zůstala celá
Klíčové je myslet na zabezpečení nejen firmy samotné, ale celého jejího dodavatelského řetězce. „Často je potřeba znovu otevřít smluvní vztahy mezi organizacemi, které dlouhodobě spolupracují. A může se stát, že partner nebude ochotný upravit smlouvu tak, aby byla v souladu s regulací,“ varoval Císek.
Protože ale tento požadavek přijde na dodavatelské firmy z více stran, pravděpodobně se budou spíše snažit sladit své procesy s novou legislativou. „Žádná firma dnes nefunguje izolovaně, všechny jsou závislé na externích IT dodavatelích, cloudových službách a dalších externistech. A i když firmu vybudujete jako pevnost, tak pokud nemáte zabezpečené všechny dodavatele, je to, jako byste si do ní nechali někde otevřené dveře,“ upozornil Císek.
Takovými dveřmi může být třeba i obyčejná tiskárna, na kterou zaměstnanci posílají soubory k vytištění a tím dávají externímu poskytovateli tiskových služeb přístup k interním datům společnosti. I tyto procesy je třeba do analýzy zahrnout a připojit dodatek smlouvy, který bezpečnost přenášených dat ošetří.
„Ale i ti, kdo spoléhají na dodavatele cloudových služeb, málokdy vědí, jestli mají zaplacené bezpečnostní služby a jakým způsobem mají zajištěné zálohování dat,“ připomněl Kaděra.
Dodatky smluv a související nové požadavky na dodavatelské firmy mohou pochopitelně představovat další náklady pro firmu, protože dodavatelé si zpřísnění pravidel mohou naúčtovat.
„Důležité je, aby požadovaná opatření byla přiměřená. Dodatky má proto smysl číst a revidovat, výsledek je vždy závislý na vyjednávací schopnosti obou stran,“ upřesnil Císek. V případě, že přísnější bezpečnostní opatření opravdu představují pro dodavatelskou firmu vyšší náklady, je podle něj navýšení ceny legitimní.
Nová legislativa se podepisuje také na měnícím se přístupu vedení firem, které je teď obezřetnější při rozdělování zodpovědnosti. Za škody způsobené kybernetickým útokem ve výsledku odpovídá statutární orgán napadené společnosti, jeho úkolem je ale zároveň jednat s péčí řádného hospodáře a investovat do zabezpečení přiměřené náklady. Pokud je to pro firmu ve zdůvodněném případě lepší, může se manažer rozhodnout nějaké opatření neprovést. Když ale ví, že tím ignoruje riziko a neposlouchá varování, může se v případě většího incidentu dopustit i trestného činu.
Firmám proto experti radí NIS2 neobcházet, ale na druhou stranu nezavádět zbytečně nepotřebná opatření. „Rizika je třeba zohlednit, každé opatření vzít na vědomí a vyhodnotit, zda v našem případě má nebo nemá význam,“ shrnuje v závěru debaty Kaděra.
Partneři debaty jsou AK Cisek, Cybrela, ATS-Telcom Praha.
Přidejte si Hospodářské noviny
mezi své oblíbené tituly
na Google zprávách.
Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.
- Veškerý obsah HN.cz
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Ukládejte si články na později
- Všechny články v audioverzi + playlist
