Neděle 25. února 2024, svátek má Liliana
  • schránka
  • Přihlásit Můj účet
130 let

Lidovky.cz

Česko

Firmy kvůli novince čekají milionové výdaje na IT. Všechny o tom ale neví

ilustrační snímek foto: PRAM Consulting

Nová evropská směrnice o kyberbezpečnosti se podle odhadů dotkne až 15 tisíc firem v Česku. Budou muset vylepšit své zabezpečení, umět reagovat na havárie a útoky nebo vzdělávat zaměstnance. Za nedodržování nových pravidel přitom hrozí vysoké pokuty. Redakce iDNES.cz oslovila firmy, kterých se nová kybersměrnice týká. Peníze do IT investují firmy nehledě na nová pravidla.
  21:26

V dnešním digitálním světě prakticky neexistuje sektor, kde informační systémy nehrají výraznou roli. I proto se Evropská unie a skrze ní také členské státy rozhodly, že musí novelizovat aktuální směrnici o kybernetické bezpečnosti (NIS2) z roku 2016, což je v digitálním věku takřka pravěk.

Co přinese NIS2

Firmy budou mít např. povinnost:

    • Vědět, jaká jsou jejich slabiny a rizika, to znamená zavést systém hodnocení a řízení rizik.
    • Zajistit bezpečnost a ochranu dat a informací a přístup k nim.
    • Vzdělávat zaměstnance, zejména zajistit vzdělávání pracovníků v oblasti bezpečnosti informací.
    • Chránit se proti útokům a umět reagovat útoky a incidenty.
    • Zajistit obnovu provozu a vašich procesů v případě útoku nebo havárie.

Česká republika by měla mít nový rámec povinností zavedený v národní legislativě do poloviny října 2024. Poté bude stanovena lhůta pro plnění nových povinností u subjektů, kterých se dosud regulace netýkala. Podle aktuálního průzkumu agentury Ipsos však ty menší o nových povinnostech zatím často vůbec netuší.

Z průzkumu, který Ipsos udělal pro českou bezpečnostní společnost APPSEC vyplývá, že 80 procent zaměstnanců IT oddělení tuzemských firem buď netuší, zda se konkrétně jejich společnosti NIS2 bude týkat, nebo dokonce vůbec nevědí, co to NIS2 je.

„Výsledky průzkumu nás nepřekvapují. Informovanost českých firem o NIS2 je tristní. Nesplnění podmínek této směrnice může v případě úspěšného kybernetického útoku představovat vážný problém a napadená organizace musí počítat s vysokou pokutou,“ upozorňuje Adam Paclt, generální ředitel společnosti APPSEC.

Směrnice se týká nejen veřejné správy, ale prakticky všech středních a velkých podniků působících na jednotném evropském trhu. V Česku se podle odhadů jedná nejméně o šest tisíc subjektů. „Tuzemské firmy čeká poměrně náročný úkol, proto bych rozhodně doporučoval začít s přípravou včas,“ míní Martin Bareš, Security Consultant ve společnosti Trask.

Bareš očekává, že v průběhu roku 2025 budou na trhu chybět expertní kapacity a odborníci. „Nedodržení předpisů může být trestáno pokutami až do výše deseti milionů eur, nebo dvou procent celosvětových ročních příjmů,“ informuje Bareš.

Informací je dost, říká kyberúřad

Redakce iDNES.cz konfrontovala s výsledky průzkumu Národní úřad pro kybernetickou bezpečnost (NÚKIB), který bude mít kontrolu dodržování nových evropských pravidel na starosti. Mluvčí NÚKIB se odkázal na sociální sítě a speciální webové stránky úřadu, kde o směrnici pravidelně komunikuje.

Jeden útok otevře dveře dalším

  • V roce 2017 kyberzločinci infikovali ukrajinský účetní software M.E.Doc, který používala většina firem v zemi. Kompromitací jeho aktualizačního serveru se útočníkům podařilo rozšířit malware do partnerských společností a následně do celého světa. Škody útoku byly vyčísleny na čtvrt bilionu korun.
  • Útok zvaný (Not)Petya ukazuje, že malé a střední podniky mohou nedobrovolně otevřít dveře sofistikovaným útokům, zejména pokud dodávají své produkty nebo služby jiným společnostem.

„Každý si na našem webu může najít vše, co se týká směrnice NIS2. Nad to probíhala a nadále probíhá řada jednání s mnohými subjekty, kterých se unijní právní akt týká. Návrh zákona o kybernetické bezpečnosti, jehož součástí je také uvedená směrnice, jsme také otevřeli na začátku roku 2023 pro veřejné konzultace. Z toho je vidět, že komunikace připravované legislativy je nadstandardní a zároveň maximálně transparentní,“ tvrdí Vala.

Více než pětina respondentů průzkumu Ipsos (21 %) však přiznala, že vůbec neví, co to NIS2 je. Nová bezpečnostní norma, která vstoupí v platnost za necelý rok, přitom zavádí například povinnost hlášení kybernetických incidentů už do 24 hodin od jejich odhalení.

NÚKIB se ale podle mluvčího neobává, že by případné vysoké pokuty mohly firmy dohnat až k likvidacím. Sankce úřad vnímá až jako krajní řešení situace. „Ústředním principem zůstává, že by uložené sankce měly být vždy účinné, přiměřené a odrazující, přičemž budou zohledněny okolnosti každého jednotlivého případu. U sankcí jsou zároveň stanoveny pouze horní limity. Platí však, že nesmí být likvidační. A spodní hranice sankce stanoveny nejsou,“ říká Vala.

Firmy do IT investují nehledě na směrnice

Pod nový zákon budou spadat instituce kritické infrastruktury jako například banky či nemocnice. Připravit se musí i spediční služby jako Česká pošta nebo Zásilkovna. IT infrastrukturu musí vylepšovat i dopravci, vodárny, chemici a mnoho dalších. Výčet firem a organizací, kterých se změna dotkne, je skutečně dlouhý a poměrně přehledně je znázorněn v infografice úřadu.

Kolik firmy ročně investují do IT

  • FN Bulovka - řádově desítky milionů korun.
  • Health+ - pětina rozpočtu IT.
  • Česká pošta - vyšší desítky milionů korun.
  • Česká spořitelna - stovky milionů korun.
  • ČEZ - jednotky miliard korun.

Firmy oslovené redakcí s tvrzením kyberúřadu o dobré komunikaci často nesouhlasí. Většina o evropské směrnici sice ví, ale ne všechny byly napřímo osloveny – a musely si informace hledat samy. Do bezpečnosti IT přitom investují všichni oslovení, se směrnicí a případnými sankcemi to však podle nich spojitost nemá.

„NIS2 pro nás nebude představovat takovou změnu jako pro ty, pro něž tato problematika bude nová. O hrozbě pokut víme, napřímo s námi ale nikdo nekomunikoval,“ informuje Marie Heřmánková, mluvčí Fakultní nemocnice Bulovka.

Podobně mluví také Eva Pašková, provozní ředitelka soukromé kliniky Health+. „Dostatek relevantních informací k nové směrnici nemáme. A vzhledem ke stadiu rozpracovanosti všech dokumentů, včetně podpůrných, i na evropské úrovni je v podstatě nemožné přesně odhadnout požadavky a dopad směrnice na provoz,“ říká Pašková.

Dostatek informací naopak má letecká společnost Smartwings. „S NÚKIB jsme v kontaktu, ve vzájemné úzké spolupráci, kdy detailně sledujeme a implementujeme doporučení,“ konstatuje Vladimíra Dufková, mluvčí Smartwings Group.

Česká pošta či Zásilkovna podle svých mluvčích dostatek informací mají a na nová pravidla se intenzivně připravují. Obdobné informace dávají také mluvčí Raiffeisenbank, České spořitelny či Vodárenské akciové společnosti, která dodává pitnou vodu v Jihomoravském kraji a v kraji Vysočina.

Nejen z průzkumu tedy vyplývá, že mezi firmami jsou velké rozdíly v tom, v jaké fázi přípravy na novou směrnici a případné hrozby s ní spojené jsou. „U nových firem, pro které je tato povinnost nová, mohou být problematické oblasti, které dosud řešit nemusely. Typicky jde o zvládání incidentů, bezpečnost dodavatelského řetězce a mnoho dalších, které mohou být výzvou,“ uzavírá Martin Bareš.

Milovníci šití, pozor! Vyhrajte balíček pro šicí nadšence od Funny Bunny
Milovníci šití, pozor! Vyhrajte balíček pro šicí nadšence od Funny Bunny

Tentokrát přinášíme soutěž pro všechny kreativní duše, které milují práci s látkami. Tři výherci získají šicí balíček od Funny Bunny, který dodá...