Několik tisíc firem v Česku se už brzy bude muset vypořádat s novou evropskou směrnicí nazvanou NIS2. Jejím cílem posílit kybernetickou ochranu podniků a státních organizací. V postatě to znamená, že firmy budou muset na vlastní náklady přijmout řadu technických, provozních i organizačních opatření. Konkrétní povinnosti se dotknou subjektů v Česku už ve druhé polovině roku 2024. Dohlížet na to bude Národní úřad pro kybernetickou a informační bezpečnost, který má již nyní pod drobnohledem velké nemocnice nebo odvětví energetiky a bankovnictví.
V listopadu loňského roku přijaly Evropský parlament a Rada Evropské unie znění nové směrnice o kybernetické bezpečnosti v EU, takzvané směrnice NIS2. Členské státy sedmadvacítky tak mají 21 měsíců od vstupu směrnice v platnost na to, aby její ustanovení začlenily do svého vnitrostátního práva. V Česku to bude prostřednictvím nového zákona o kybernetické bezpečnosti (NZKB) a prováděcích vyhlášek, které připravuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
„Směrnice určuje minimální pravidla, která musí Česká republika implementovat do svého zákona, a to do dvou let od přijetí této směrnice. NÚKIB, který má na starosti přípravu zákona, předpokládá účinnost zákona v druhé polovině roku 2024. Zákonodárce také může stanovit pravidla i nad rámec směrnice, která mohou být oproti směrnici přísnější, ale naopak nesmí být benevolentnější než pravidla stanovená směrnicí,“ vysvětluje Michal Šilhánek z advokátní kanceláře Lawya.
Směrnice nově rozšiřuje okruh povinných osob, zpřísňuje požadavky na hlášení bezpečnostních incidentů, zavádí osobní odpovědnost managementu a zásadně zvyšuje sankce za nedodržení povinností.
Týká se většiny komerčních subjektů
NIS2 dělí organizace do dvou skupin – na subjekty zásadního významu a subjekty důležité. Opatření se tak budou týkat odhadem více než šesti tisíc firem a institucí v České republice – od energetiky, zdravotnictví, potravinářství nebo chemického průmyslu přes dopravu, bankovnictví, vodárenství, výrobu potravin či digitální infrastrukturu po poštovní a kurýrní služby, nakládání s odpady, veřejnou správu a mnoho dalších odvětví.
„Směrnice NIS2 požaduje po organizacích, které jsou nějakým způsobem důležité, zavést organizační i technická opatření k zajištění jejich kybernetické bezpečnosti, respektive bezpečnosti jejich informačních systémů, které tyto služby zajišťují,“ vysvětluje ředitel odboru regulace NÚKIB Adam Kučínský.
Počet dotčených subjektů se zvýší více než desetinásobně
Kromě oboru působnosti je jedním z kritérií pro zařazení pod NIS2 také roční obrat a počet zaměstnanců. Spadat pod ni bude tedy většina komerčních subjektů. Přesný počet závisí na tom, jak se k předpisu postaví zmiňovaný NÚKIB. Minimální okruh povinných subjektů sice stanovuje samotná směrnice NIS2, ale tento okruh je možné na národní úrovni rozšířit. Odborníci se shodují, že tak NÚKIB podle všeho učiní.
„V některých případech budou pod regulaci NIS2 spadat i organizace bez ohledu na jejich velikost. Jde například o poskytovatele služeb elektronických komunikací, poskytovatele služeb vytvářejících důvěru a poskytovatelé služeb DNS. Další výjimky, kdy se bude regulace vztahovat i na subjekty, které nesplňují kritérium velikosti, určí národní legislativa. Může jít například o poskytovatele jedinečných služeb se zásadním dopadem na společnost z hlediska bezpečnosti nebo zdraví,“ upozorňuje ředitel bezpečnosti společnosti O2 Radek Šichtanc.
Dosavadní regulace kybernetické bezpečnosti přitom byla v Česku koncipována pro poměrně úzkou skupinu zhruba šesti stovek nejdůležitějších a nejvýznamnějších organizací s velkým dopadem na celou společnost. „V první verzi směrnice se určovaly ty subjekty typicky přes dopady. Konkrétní subjekt se nacházel v určitém odvětví a v případě narušení jeho služeb by to mělo dopad na velký počet uživatelů, ekonomiku státu a podobně. Nově jsou tyto subjekty určovány skrze velikost a to, že působí v konkrétním odvětví,“ objasňuje Kučínský.
Problém je nedostatek IT odborníků
Zatím je tedy jisté pouze to, že nová pravidla budou aplikována na všechny subjekty kritické infrastruktury, vybrané služby definované zákonem a většinu středních a velkých podniků v klíčových odvětvích. Firmy tedy budou nuceny buď posílit a přeorganizovat svá vlastní IT oddělení, nebo tuto práci outsourcovat externím odborníkům.
Pro mnohé firmy, natož například veřejné subjekty, bude velmi obtížné získat do svých řad potřebné IT specialisty nebo experty na kybernetickou a informační bezpečnost, na řízení rizik či architekty kybernetické bezpečnosti. Těch je už dnes na trhu práce zoufalý nedostatek. Především u menších subjektů tak nebude kapacitně možné sestavit plnohodnotný tým IT odborníků na všechny oblasti kybernetické bezpečnosti. Lze tedy předpokládat, že pro zajišťování některých oblastí budou firmy využívat sdílené služby.
„Co se IT odborníků týče, na českém trhu je dlouhodobě obrovský převis poptávky nad nabídkou a oblast kyberbezpečnosti není v tomto ohledu výjimkou. Z našich dat vyplývá, že po personální stránce rozhodně nejsou české společnosti na směrnici NIS2 připravené. Jestliže se povinnost bude týkat odhadem až několika tisíc českých firem, znamenalo by to získat interně tisíce odborníků. Na trhu jich tolik rozhodně není. Jediným možným východiskem tak bude pro řadu subjektů outsourcing těchto služeb,“ potvrzuje Ondřej Horák, spoluzakladatel Andrew Paulsen IT Recruitment.
Znamená to tedy, že si firmy budou služby buď zajišťovat prostřednictvím externích dodavatelů, nebo se pokusí složit vlastní tým nabráním interních specialistů „Jádro takového týmu se skládá z IT specialistů, kteří pracující na nejrůznějších odborných pozicích. Mezi ně patří například inženýr kybernetické bezpečnosti, specialista kryptografie, forenzní počítačový analytik, architekt počítačových sítí, vedoucí informační bezpečnosti, analytik informační bezpečnosti, penetrační tester nebo incident analytik. Rovněž bychom neměli zapomínat na vývojáře umělé inteligence, která významně ovlivní například používanou kryptografii a řadu dalších oblastí,“ doplňuje Pavel Svetík, druhý ze zakladatelů Andrew Paulsen IT Recruitment.
Právě umělá inteligence a automatizace mohou částečně firmám s nedostatkem lidí pomoci. S rostoucím datovým objemem se snižuje schopnost analyzovat a vyhodnocovat relevantní data. Automatizované testování kybernetické odolnosti tak může být velmi efektivní.
Včasná příprava je klíčová
Velká část firem už začala brát kyberbezpečnost velmi vážně. Uvědomují si, že rizika a možné ztráty jsou příliš bolestivé, než aby tyto reálné hrozby ignorovaly. Klíčové ale podle odborníků je, aby firmy reagovaly flexibilněji a zaváděly nové postupy i technologie, které jim umožní těmto typům podvodů efektivněji čelit. Přestože pro mnohá odvětví může být implementace nových mechanismů souvisejících se směrnicí NIS2 náročná, je nutné s přípravami neotálet.
„Doporučuji si nejprve stanovit, zda se mé firmy nová regulace dotýká a jak (z pohledu kritérií a stupně režimu povinností). A následně provést rozdílovou analýzu. Ta ukáže, v jakých oblastech, respektive zavedených opatřeních má firma aktuálně nesplňuje požadavky zákona. Věřím, že většina subjektů to vezme jako dobrou příležitost zrevidovat svůj systém řízení informační bezpečnosti. A pokud to nezvládnou samy, může jim s tím pomoci řada partnerů – dodavatelů bezpečnosti. A nejde jen o samotné prvotní nastavení. Firmy budou muset řešit soulad se zákonem i nadále a kyberbezpečnost rozvíjet kontinuálně, ať již s vlastními zdroji, nebo pomocí outsourcingu,“ nabádá Radek Šichtanc.
Vyšší náklady pro firmy i pro stát
Implementace povinností spojených s přijetím směrnice NIS2 bude bezesporu představovat zvýšené náklady a administrativní zátěž pro soukromé firmy i orgány veřejné správy, které doposud žádné kyberbezpečnostní povinnosti neměly.
Poradenské společnosti odhadují, že některé subjekty kvůli splnění požadavků směrnice navýší své dosavadní IT rozpočty až o více než pětinu. Podle Zbyňka Bolcka, partnera poradenské a účetní společnosti Grant Thornton, to v případě středních podniků může představovat investice v jednotkách až desítkách milionů korun, u větších až ve stovkách milionů. Rozhodující bude, jak moc už je daná firma proti kyberútokům zabezpečena. „U méně kritických provozů a menších firem mohou být náklady o řád až dva nižší. Investovat se bude muset nejen do hardwaru a softwaru, ale především do lidí a organizačních opatření,“ říká Bolcek.
Náklady a administrativa by proto podle Svazu průmyslu a dopravy ČR (SPČR) měly být co nejmenší, aby firmy nečelily zbytečným komplikacím. „Musíme si uvědomit, že ne každá firma má finanční prostředky či personální kapacity na budování speciálních útvarů, které se této problematice budou věnovat,“ uvedla pro portál Euractive Kateřina Kalužová, manažerka pro digitální ekonomiku SPČR.
Odpovědnost statutárních orgánů
Směrnice NIS2 také zavede přímou odpovědnost statutárních orgánů za zavedení kyberbezpečnostních opatření a jejich dodržování. Nebude tak dostačující problematiku kybernetické bezpečnosti delegovat na firemní IT oddělení, ale vedení firmy se o kybernetickou bezpečnost bude muset ve vlastním zájmu samo zajímat, jinak může za případný kybernetický incident nést přímou odpovědnost.
„Žádá se, aby řídící orgány dohlížely na opatření v oblasti kybernetické bezpečnosti, schvalovaly je a byly v této oblasti také školeny. Za neplnění stanovených povinností pak mohou být vystaveny značným sankcím, včetně dočasného zákazu výkonu řídicích funkcí v základním subjektu,“ upozorňuje advokát Michal Šilhánek.
Pomůže speciální web
NÚKIB vytvořil speciální webové stránky nis2.nukib.cz, kde jsou veškeré aktuální informace k implementaci směrnice. Nejen dotčené subjekty se tady dozví, co konkrétně nová směrnice přináší, jaké jsou největší změny stávajících požadavků i způsob, jak budou evropské požadavky promítnuty do národní legislativy.
Na webu tak lze dohledat, jakým způsobem budou organizace zabezpečovat své služby, jaké incidenty budou hlásit, jaké budou sankce za neplnění požadavků a další specifika.
