NIS2 bude výzvou především pro malé a střední podniky, které spadají do nižšího režimu povinností
Přibližně 6 000 podnikatelských subjektů a firem čekají začátkem roku 2025 zásadní změny na poli povinností v kyberbezpečnosti. Nová evropská bezpečnostní směrnice NIS2 rozšiřuje působnost na větší počet odvětví a zahrnuje mimo jiné velké i střední podniky v kritických sektorech jako energetika, doprava, zdravotnictví, finance a digitální infrastruktura. Především středně velké firmy ale s finančně náročnou implementací nástrojů pro zabezpečení a správu rizik otálejí.
České firmy budou muset začátkem příštího roku implementovat robustnější kybernetická bezpečnostní opatření, včetně pravidelného hodnocení rizik, zavedení preventivních a detekčních mechanismů a plánů pro reakci na kyberútoky. Klíčové je například i podrobné sledování bezpečnosti partnerů a dodavatelů. Přestože směrnice neobsahuje v zásadě žádné nové koncepty či opatření, které by již většina velkých společností přirozeně neaplikovala, svírá české podnikatele nejistota.
Mnoho velkých českých společností již splňuje většinu požadavků směrnice NIS2 – konkrétně se jedná o 70 % z přibližně 6 000 dotčených firem, na které nová regulace od příštího roku dopadne, často díky dřívějším investicím do kybernetické bezpečnosti a dodržování stávajících standardů. Naopak malé a střední podniky nyní čelí novým výzvám, neboť musí začít sbírat data a zavádět bezpečnostní opatření, která pro ně doposud nebyla povinná. Pro tyto firmy představuje směrnice NIS2 novou a finančně náročnou povinnost, i když budou fungovat v nižším režimu. Začít by měli ihned.
Od účinnosti zákona jen roční lhůta na plnění povinností
Přijetí české verze zákona implementujícího směrnici NIS2, kterou připravil Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), provázely od začátku těžké komplikace. Ať už jde o odmítnutí podoby zákona v roce 2022 premiérem Fialou, přerušení vládního jednání o implementaci směrnice či nejasnost právních definicí, pro české firmy a podniky celý legislativní proces nebudil důvěru.
„Velké české firmy vědí moc dobře, že na ně NIS2 začátkem roku dopadne. Ve skutečnosti dokonce již většinu svých povinností přirozeně plní, ostatně nový kybernetický zákon je postaven na mezinárodně uznávaných a již platných standardech. Implementace nových nástrojů je ale náročná na čas i finance, a tak se v tomto ohledu mezi velkými a malými firmami pomalu rozevírají nůžky,“ vysvětluje Zuzana Kubíková z poradenské společnosti RSM.
„Kolem dvou třetin společností, kteří k nám přijdou s žádostí o poradenství ohledně NIS2, nevnímá celou legislativu zpočátku jako nic víc než další zbytečnou regulaci a povinnosti. Rychle ale pochopí, že zčásti už mají splněno, a čekají je tak spíš jen formality,“ dodává Zuzana Kubíková.
Díky implementaci národních předpisů, jako je předchozí Zákon o kybernetické bezpečnosti, mají větší společnosti solidní základ pro plnění nových evropských standardů. Firmy v kritických sektorech, jako jsou energetika, finance nebo zdravotnictví, dlouhodobě uplatňují bezpečnostní politiky a postupy, které odpovídají požadavkům NIS2. Přesto i pro ně platí, že by neměly sedět se založenýma rukama. Současný zákon o kyberbezpečnosti je totiž, co se týče požadavků NIS2, zanedbatelný.
Některé české firmy, na které se bude NIS2 vztahovat, už mají zavedené systémy řízení bezpečnosti informací podle mezinárodních standardů, jako je ISO/IEC 27001, a pravidelně provádějí hodnocení rizik. To znamená, že již implementují technická a organizační opatření pro zajištění kybernetické bezpečnosti a mají zkušenosti s hlášením incidentů příslušným orgánům.
„Velmi zbystřit by však měly společnosti, které spadají do takzvaného nižšího režimu povinností. Ten se týká firem, které do NIS2 budou spadat nově právě od příštího roku. Velkou část povinností sice budou mít stejné jako firmy ve vyšším režimu, odpadají jim ale takové záležitosti, jako je audit kybernetické bezpečnosti, řízení rizik a vyhodnocování kybernetických bezpečnostních událostí. Obecně platí, že od přijetí zákona mají firmy 60 dní na sebeidentifikaci a reportování, zda a v jakém rozsahu se jich NIS2 týká, a následně rok na implementaci potřebných opatření. Čím dříve začnou, tím lépe pro ně,“ dodává Zuzana Kubíková.
Co nejdříve by měly firmy provést GAP analýzu (analýza současného stavu a současných opatření), která jim pomůže zjistit, jaké požadavky směrnice již splňují a v jakých oblastech musí ještě posílit své kybernetické bezpečnostní opatření.
Investice do kybernetické bezpečnosti v nižším režimu
V následující tabulce uvádíme hrubý odhad toho, jak by mohly vypadat investice do bezpečnostních opatření v nižším režimu ve společnosti o 100 uživatelích. Samozřejmě jde pouze o příklady a reálné náklady se mohou lišit v každé společnosti a stejně tak s ohledem na použité technologie. Zároveň se nejedná o kompletní výčet požadavků zákona. Pokud jde o vyšší režim, náklady, které budou muset společnosti vynaložit, jsou výrazně vyšší ve srovnání s nižším režimem.
| Bezpečnostní opatření / technologie | Možné vstupní náklady |
| Školení uživatelů a vedení společnosti | 20 000 Kč |
| Zpracování dokumentace | 30 000 Kč |
| Pravidelné audity | 40 000 Kč |
| Zálohování (2TB, HW, SW licence) | 60 000 Kč |
| Řízení identit (Identity management) | 250 000 Kč |
| Ochrana koncových zařízení (EDR) | 100 000 Kč |
| Firewall na perimetru | 50 000 Kč |
| Skenování zranitelností | 50 000 Kč |
Největší výzva? Brát kyberbezpečnost vážně
S ohledem na skutečnost, že kyberútoky se stávají běžnou hrozbou pro všechny velikosti podniků, je implementace pokročilých technických opatření, jako jsou systémy pro detekci průniků, a nepřetržité monitorování bezpečnostních událostí klíčová pro ochranu před potenciálními útoky.
„Asi největší mezerou, kterou musí v tomto české firmy zacelit, je, aby braly kyberbezpečnost jednoduše vážně. Dobře nastavené procesy a vzdělání zaměstnanců je jedna věc, ale management musí brát tyhle věci vážně a nenastavit je jen ad hoc s představou, že na ‚to‘ stejně nikdy nedojde,“ dodává Kubíková. Ve výsledku tak půjde o téma pro celou firmu, nikoli jen pro IT oddělení.
Management by měl být aktivně zapojen do strategického plánování a rozhodovacích procesů týkajících se ochrany informačních systémů a dat. Je důležité, aby si vedení uvědomilo, že kybernetické hrozby mohou vážně ohrozit nejen velké korporace, ale i malé a střední podniky. To vyžaduje investice do školení a vzdělávání na všech úrovních společnosti, aby byla kybernetická bezpečnost vnímána jako společná odpovědnost všech zaměstnanců.
