Včera bylo pozdě. Tisíce firem podceňují přípravu na nástup rozsáhlé regulace v kyberbezpečnosti, hrozí jim masivní pokuty

„Připravenost firem, kterých se bude regulace nově týkat, je v průměru naprosto tristní. Většina z nich vůbec neví, že něco takového existuje a jaké povinnosti jim vzniknou,“ říká Michaela Koletová, zástupkyně ředitele CEBRE, instituce reprezentující český byznys před evropskými organizacemi v Bruselu. 

Evropská pravidla s názvem NIS2 navazují na regulaci NIS, přijatou v roce 2016. Pod ni spadaly jen takzvaní provozovatelé základních a digitálních služeb, mezi nimi například velké banky, energetické či telekomunikační společnosti. Pod tuto množinu nyní budou patřit i další subjekty a současně dojde k rozšíření povinností, které tyto firmy budou muset splňovat. 

Pod NIS2 navíc nově přibudou i další podniky. U nich budou pravidla nastavena o něco měkčeji. Mimo jiné půjde o firmy z odpadového hospodářství, zdravotnictví, poštovních a kurýrních služeb. Dále o producenty a distributory chemických látek, potravin či elektronických přístrojů anebo výrobce zdravotnických pomůcek, elektroniky, strojů či motorových vozidel. Regulace bude celkově zahrnovat až 60 služeb z 18 sektorů, čímž v Česku dopadne na více než šest tisíc podniků.

Zdali subjekt poskytuje regulovanou službu, zjistí z vyhlášky, kterou již dříve publikoval Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). To samotné ale nestačí, ještě je nutné, aby firma splňovala alespoň jeden ze dvou základních parametrů. U firem z první a přísněji regulované skupiny půjde o to, zdali mají více než 250 zaměstnanců a obrat vyšší než 50 milionů eur (přibližně 1,27 miliardy korun). Pro firmy s o něco nižšími požadavky je parametr nastaven na více než 50 zaměstnanců a obrat vyšší než 10 milionů eur (zhruba 253 milionů korun).  

Nová pravidla jsou tak obsáhlá, že vláda dříve delegovala NÚKIB, aby vytvořil návrh zákona o kybernetické bezpečnosti, prostřednictvím něhož bude evropská legislativa přijata. Podle oficiálního harmonogramu by k tomu mělo dojít do konce října, návrh aktuálně leží na stole legislativní rady vlády. Pokud se vše stihne, firmy budou mít následně rok na to, aby požadavkům vyplývajícím ze směrnice vyhověly.

Právě tento časový rámec je ale podle expertů jedním z největších problémů. Velká část firem totiž začala s přípravami pozdě. Podle Ireny Hýskové, výkonné ředitelky kyberbezpečnostní společnosti Thein Security, nová pravidla včas nestihne zavést asi 70 procent firem, tedy přes 4000 subjektů.

„Včera bylo pozdě. Firmám, které se doteď kybernetické bezpečnosti cíleně nevěnovaly, může implementace nových pravidel zabrat i roky,“ říká Koletová. Podle Jaroslavy Kračúnové, partnerky a vedoucí týmu Business Integrity v advokátní kanceláři Deloitte Legal, se to týká hlavně malých a středních firem spadajících do druhé, méně regulované kategorie. Velká část těchto firem totiž dosud používala v rámci ochrany proti kyberútokům pouze firewall a jeden z antivirových programů.

„To však na splnění požadavků vyplývajících z NIS2 zdaleka nestačí,“ říká. Jde například o menší zdravotnické subjekty – třeba oblastní nemocnice či jiná pečovatelská zařízení – anebo společnosti nakládající s odpadem. I v sektoru veřejných služeb platí, že čím menší subjekt je, tím méně je na regulaci připraven.

Díky podcastu Bruselský diktát pochopíte, že pro nás Čechy má mnohem větší význam dění v Evropě než v Praze a v Česku vůbec. Celé díly poslouchejte na

HeroHero Gazetisto

Menší oblastní nemocnice na dotazy HN nereagovaly, odpovědi odeslaly jen dvě větší – Krajská nemocnice Liberec a Ústí nad Labem. Obě napsaly, že na zvyšování prevence proti hackerským útokům a kyberbezpečnosti pracují. „Do opatření (v rámci zavádění NIS 2) jsme dosud investovali nižší desítky milionů korun,“ říká mluvčí prvně jmenované Václav Říčař. Na dotaz, zdali je čas na zavedení nových pravidel dostatečný, ale konkrétní odpověď neposkytl. Alexandr Komarnický, mluvčí odpadové firmy Pražské služby, pak uvedl, že firma o směrnici ví už dlouho, a proto všechny související kroky podniká s předstihem.

Do potíží by se naopak neměly dostat větší firmy a subjekty, které již v rámci kyberbezpečnosti byly dříve regulovány, například banky či mobilní operátoři.

Důvodem vytvoření regulace NIS2 je snaha EU zabezpečit svůj vnitřní digitální prostor proti kybernetickým hrozbám a hackerům zvenčí, například ze zemí jako Rusko nebo Čína. Pro firmy nová pravidla zjednodušeně řečeno znamenají zavedení řady bezpečnostních technologií a procesů, které mají zajistit rychlou reakci při napadení. Jde také o povinnost hlásit takové incidenty NÚKIB, což znamená, že firmy budou muset nad systémy držet takřka nepřetržitý dohled. Směrnice také požaduje využití ověřeného hardwaru a softwaru, který je certifikovaný na celoevropské úrovni.

Kromě nutnosti dělat důkladné analýzy je důležité také to, že podniky budou muset hlídat kyberbezpečnost i ve svých dodavatelských řetězcích. Pokud nějaká z těchto firem nebude novým standardům vyhovovat, může s ní objednavatel ukončit spolupráci. Vyžadováno bude také pravidelné školení zaměstnanců. 

V případě nedodržení požadavků hrozí firmám sankce, které mohou být pro některé z nich i likvidační. Pokud povinnosti nedodrží například lokální rodinná firma patřící do méně regulované skupiny, činí pokuta maximálně sedm milionů eur (zhruba 177 milionů korun). Pokud spadá do větší nadnárodní skupiny, pak je pokuta vypočítána jako 1,4 procenta ze světového obratu skupiny. Stejná metodika se uplatňuje i u více regulovaných firem, liší se jen výše pokut: buď 10 milionů eur (okolo 253 milionů korun), anebo v případě nadnárodních podniků dvě procenta ze světového obratu.

Novinkou je také přímá odpovědnost lidí v topmanagementech firem za dodržování požadavků. Těmto osobám může být při velmi závažném porušování povinností dokonce pozastaven výkon funkce. „A nelze vyloučit ani to, že se člen statutárního orgánu porušením svých povinností v oblasti kybernetické bezpečnosti dopustí spáchání trestného činu, například porušení povinností při správě cizího majetku,“ říká Kračúnová. Míra odpovědnosti těchto osob se odvíjí od toho, zdali daný subjekt spadá do skupiny s vyššími, či nižšími regulatorními požadavky. Za dodržování pravidel a případné vymáhání požadavků je odpovědný NÚKIB. 

Kromě toho mají malé a střední firmy problém i s nedostatečným rozpočtem, který mohou na zavedení pravidel vyčlenit (na rozdíl od velkých korporátů). A i kdyby peníze měly, je potíž v tom, že na trhu je dlouhodobě velmi málo kvalifikované pracovní síly. Řada firem tak bude muset úkoly outsourcovat.

„I nalezení bezpečnostních expertů bude pro nově regulované subjekty jednou z největších výzev,“ říká Eliška Kühnerová, expertka na kyberbezpečnost v poradenské společnosti KPMG. Vyloučen tak není ani scénář, že se termín, od kterého firmy budou muset pravidla závazně dodržovat, o něco posune.