V dnešním digitálním světě prakticky neexistuje sektor, kde informační systémy nehrají výraznou roli. I proto se Evropská unie a skrze ní také členské státy rozhodly, že musí novelizovat aktuální směrnici o kybernetické bezpečnosti (NIS2) z roku 2016, což je v digitálním věku takřka pravěk.
Co přinese NIS2Firmy budou mít např. povinnost:
|
Česká republika by měla mít nový rámec povinností zavedený v národní legislativě do poloviny října 2024. Poté bude stanovena lhůta pro plnění nových povinností u subjektů, kterých se dosud regulace netýkala. Podle aktuálního průzkumu agentury Ipsos však ty menší o nových povinnostech zatím často vůbec netuší.
Z průzkumu, který Ipsos udělal pro českou bezpečnostní společnost APPSEC vyplývá, že 80 procent zaměstnanců IT oddělení tuzemských firem buď netuší, zda se konkrétně jejich společnosti NIS2 bude týkat, nebo dokonce vůbec nevědí, co to NIS2 je.
„Výsledky průzkumu nás nepřekvapují. Informovanost českých firem o NIS2 je tristní. Nesplnění podmínek této směrnice může v případě úspěšného kybernetického útoku představovat vážný problém a napadená organizace musí počítat s vysokou pokutou,“ upozorňuje Adam Paclt, generální ředitel společnosti APPSEC.
Směrnice se týká nejen veřejné správy, ale prakticky všech středních a velkých podniků působících na jednotném evropském trhu. V Česku se podle odhadů jedná nejméně o šest tisíc subjektů. „Tuzemské firmy čeká poměrně náročný úkol, proto bych rozhodně doporučoval začít s přípravou včas,“ míní Martin Bareš, Security Consultant ve společnosti Trask.
Bareš očekává, že v průběhu roku 2025 budou na trhu chybět expertní kapacity a odborníci. „Nedodržení předpisů může být trestáno pokutami až do výše deseti milionů eur, nebo dvou procent celosvětových ročních příjmů,“ informuje Bareš.
Informací je dost, říká kyberúřad
Redakce iDNES.cz konfrontovala s výsledky průzkumu Národní úřad pro kybernetickou bezpečnost (NÚKIB), který bude mít kontrolu dodržování nových evropských pravidel na starosti. Mluvčí NÚKIB se odkázal na sociální sítě a speciální webové stránky úřadu, kde o směrnici pravidelně komunikuje.
Jeden útok otevře dveře dalším
|
„Každý si na našem webu může najít vše, co se týká směrnice NIS2. Nad to probíhala a nadále probíhá řada jednání s mnohými subjekty, kterých se unijní právní akt týká. Návrh zákona o kybernetické bezpečnosti, jehož součástí je také uvedená směrnice, jsme také otevřeli na začátku roku 2023 pro veřejné konzultace. Z toho je vidět, že komunikace připravované legislativy je nadstandardní a zároveň maximálně transparentní,“ tvrdí Vala.
Více než pětina respondentů průzkumu Ipsos (21 %) však přiznala, že vůbec neví, co to NIS2 je. Nová bezpečnostní norma, která vstoupí v platnost za necelý rok, přitom zavádí například povinnost hlášení kybernetických incidentů už do 24 hodin od jejich odhalení.
NÚKIB se ale podle mluvčího neobává, že by případné vysoké pokuty mohly firmy dohnat až k likvidacím. Sankce úřad vnímá až jako krajní řešení situace. „Ústředním principem zůstává, že by uložené sankce měly být vždy účinné, přiměřené a odrazující, přičemž budou zohledněny okolnosti každého jednotlivého případu. U sankcí jsou zároveň stanoveny pouze horní limity. Platí však, že nesmí být likvidační. A spodní hranice sankce stanoveny nejsou,“ říká Vala.
Firmy do IT investují nehledě na směrnice
Pod nový zákon budou spadat instituce kritické infrastruktury jako například banky či nemocnice. Připravit se musí i spediční služby jako Česká pošta nebo Zásilkovna. IT infrastrukturu musí vylepšovat i dopravci, vodárny, chemici a mnoho dalších. Výčet firem a organizací, kterých se změna dotkne, je skutečně dlouhý a poměrně přehledně je znázorněn v infografice úřadu.
Kolik firmy ročně investují do IT
|
Firmy oslovené redakcí s tvrzením kyberúřadu o dobré komunikaci často nesouhlasí. Většina o evropské směrnici sice ví, ale ne všechny byly napřímo osloveny – a musely si informace hledat samy. Do bezpečnosti IT přitom investují všichni oslovení, se směrnicí a případnými sankcemi to však podle nich spojitost nemá.
„NIS2 pro nás nebude představovat takovou změnu jako pro ty, pro něž tato problematika bude nová. O hrozbě pokut víme, napřímo s námi ale nikdo nekomunikoval,“ informuje Marie Heřmánková, mluvčí Fakultní nemocnice Bulovka.
Podobně mluví také Eva Pašková, provozní ředitelka soukromé kliniky Health+. „Dostatek relevantních informací k nové směrnici nemáme. A vzhledem ke stadiu rozpracovanosti všech dokumentů, včetně podpůrných, i na evropské úrovni je v podstatě nemožné přesně odhadnout požadavky a dopad směrnice na provoz,“ říká Pašková.
Dostatek informací naopak má letecká společnost Smartwings. „S NÚKIB jsme v kontaktu, ve vzájemné úzké spolupráci, kdy detailně sledujeme a implementujeme doporučení,“ konstatuje Vladimíra Dufková, mluvčí Smartwings Group.
Česká pošta či Zásilkovna podle svých mluvčích dostatek informací mají a na nová pravidla se intenzivně připravují. Obdobné informace dávají také mluvčí Raiffeisenbank, České spořitelny či Vodárenské akciové společnosti, která dodává pitnou vodu v Jihomoravském kraji a v kraji Vysočina.
Nejen z průzkumu tedy vyplývá, že mezi firmami jsou velké rozdíly v tom, v jaké fázi přípravy na novou směrnici a případné hrozby s ní spojené jsou. „U nových firem, pro které je tato povinnost nová, mohou být problematické oblasti, které dosud řešit nemusely. Typicky jde o zvládání incidentů, bezpečnost dodavatelského řetězce a mnoho dalších, které mohou být výzvou,“ uzavírá Martin Bareš.
