V Česku vzniká nový zákon o kybernetické bezpečnosti, který reaguje na loni přijatou unijní směrnici NIS 2. Experti se sice shodují v potřebnosti zákona, jedním dechem ale upozorňují, že jeho zavedení do praxe bude stát miliardy korun a vyžádá si spoustu odborně zdatných pracovníků, kteří však už teď nejsou příliš k mání. Většina firem a institucí, jichž se zákon dotkne, navíc ani zdaleka nesplňuje podmínky, které budou v celé Evropě v blízké budoucnosti závazné.
Kybernetických útoků, které cílí na důležité světové státní instituce, infrastrukturu, významné průmyslové podniky a třeba i na nemocnice, přibývá. Jejich úspěšnost ale odhaluje, že svět stále není na digitální hrozby připravený. Jen v Česku hackeři napadli například těžební společnost OKD, benešovskou nemocnici nebo Ředitelství silnic a dálnic, dlouhodobým cílem jejich aktivit je také ministerstvo zahraničí. Za mnoha útoky stojí Rusko, o němž přede dvěma týdny ministr dopravy Martin Kupka v deníku Financial Times prohlásil, že se snaží sabotovat železnice v celé Evropě.
S rozšiřováním nástrojů na bázi umělé inteligence se navíc dá očekávat, že takových útoků budou schopní i méně technicky zdatní aktéři. Už nyní celosvětový průměr výše škod na jeden případ činí zhruba 4,45 milionu dolarů, tedy přes sto milionů korun, poškození reputace firem, jejichž systémy se hackeři prohnali, je finančně nevyčíslitelné. Ochranu klíčových institucí i pravidla, jak jí efektivně dosáhnout, proto státy promítají do legislativy. Také Česko chystá nový zákon vycházející z evropské regulace kyberprostoru.
Jenže uvedení nových pravidel v život si vyžádá spoustu peněz a také desítky nových lidí, kteří s tím soukromému i veřejnému sektoru pomůžou. IT odborníků včetně těch na kybernetickou bezpečnost se zásadně nedostává – různé průzkumy odhadují deficit „ajťáků“ na trhu práce na 20 až 30 tisíc. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který znění nového zákona připravuje, ale odmítá vyčíslit jak celkové náklady pro české firmy a pro státní rozpočet, tak i počet kompetentních pracovníků, kteří budou v české ekonomice potřební pro zavedení nových povinností.
„Každá jednotlivá organizace je unikátní a bude zavádět jiná bezpečnostní opatření odpovídající konkrétnímu stavu věci a s ohledem na vlastní potřeby. Není tak reálné, aby NÚKIB vypočítal celkové náklady,“ brání se úřad v odpovědi na dotazy e15. Na nekonkrétnost si však stěžuje nejen soukromý sektor, ale také Legislativní rada vlády, která začátkem ledna zákon projednávala.
Po úřadu žádá „lépe a detailněji zpracovat dopady na jednotlivé zasažené subjekty – na malé a střední podniky (především v oblasti telekomunikací), sociální dopady (promítnutí zvýšených nákladů do cen u sociálně citlivých komodit jako energie, telekomunikace nebo potraviny). A upozorňuje také na nesoulad nového zákona s evropským právem. Připomínky NÚKIB musí zapracovat, takže je jisté, že původně avizovaný termín platnosti nového zákona letos na podzim se nestihne.
Cena za bezpečí
Loni přijatá evropská směrnice NIS 2 (Network and Information Security 2, Zabezpečení sítí a informací; první europarlament schválil už v roce 2016) významně rozšiřuje okruh subjektů, jejichž úroveň kybernetické bezpečnosti bude muset daná pravidla naplňovat. Dosud to bylo jen pár stovek společností, hlavně těch opravdu kritických, a státní organizace. Nyní se povinnosti dotknou mnoha dalších odvětví, jako je potravinářství, energetika, chemický průmysl, železniční doprava, telekomunikace, poštovní služby a další.
„Rozšíření rozsahu na další klíčová odvětví může pomoci zajistit, že kritická infrastruktura a služby jsou chráněny před kybernetickými útoky a že jsou připraveny čelit novým výzvám,“ vítá nová pravidla Irena Hýsková ze společnosti Thein Security, která nabízí kyberbezpečnostní služby.
Počet firem a státních organizací, na které se nový zákon bude vztahovat, NÚKIB odhaduje na minimálně šest tisíc. Směrnice NIS 2 dělí organizace v jednotlivých odvětvích na více a méně důležité; pravidla tak nebudou pro všechny stejně přísná. Všichni dotčení ale budou muset investovat do analýzy současného stavu, vytvoření organizačních postupů, jak v případě kybernetického útoku postupovat, a řada z nich bude muset buď přijmout nové zaměstnance, nebo si najímat služby specializovaných bezpečnostních firem. Manažerů kybernetické bezpečnosti, které bude úřad vyžadovat u firem zatížených přísnější regulací, je na trhu kritický nedostatek a jejich měsíční ohodnocení zpravidla přesahuje sto tisíc korun.
Náklady na zavedení, a hlavně udržení nových pravidel tak firmy i konzultanti odhadují na nemalé částky. Například polostátní ČEZ, z jehož skupiny bude novým pravidlům podléhat pravděpodobně 47 podniků, odhaduje, že si nová opatření vyžádají investici 2,5 miliardy korun a přijetí až 80 nových lidí, dvojnásobek současného stavu. „Nejsme si jistí, že je to dobře, protože nám tam spadají firmy, které reálně nemají dopad na bezpečnost kyberprostoru Česka,“ zapochyboval na nedávném semináři v Poslanecké sněmovně Daniel Rous, který má v ČEZ bezpečnost na starosti. Rous navíc označil odhad nákladů za „konzervativní“.
Kyberbezpečnostní firmy, které redakce e15 oslovila, se shodují, že finančně náročné bude zavedení nových pravidel i pro firmy a instituce v režimu s nižšími povinnostmi. Dosud často žádné kybernetické zabezpečení nemají, takže už počáteční fáze je bude stát přes dva miliony korun. Například společnost Thein Security vyčísluje, že jen takzvaný penetrační test, který zjišťuje slabá místa kybernetické obrany, a audit v souladu s NIS 2, který upřesní, jaké organizační nedostatky firma v tomto ohledu má, u ní vyjdou na šest set tisíc.
To ale není všechno, další dva miliony si každý rok vyžádají provozní náklady, jako jsou licence na bezpečnostní software a služby kyberbezpečnostních manažerů. Thein Security tuto nabídku uvádí pro firmy o 50 zaměstnancích, pro společnosti s 250 zaměstnanci vypočítává nutné roční náklady na téměř čtyři miliony korun. Na jednotky milionů korun tyto služby vyčíslují také experti z poradenské společnosti PwC nebo konzultanti z firmy BDO.
„Z pohledu požadavků se ve většině případů jedná o základní hygienu, kterou by daná organizace měla mít nehledě na soulad s NIS2. Můžeme proto říci, že společnosti, které bezpečnost řeší mohou být náklady minimální, na druhou stranu společnosti, pro které je bezpečnost pole neorané se můžou investice pohybovat v řádu milionů korun,“ potvrzuje Petr Šimsa, expert na regulatoriku v kyberbezpečnosti z PwC.
NÚKIB sice, jak už bylo řečeno, odmítá přesně vyčíslit celkové náklady, na které by se dotčené instituce měly připravit, nicméně na dotaz e15 píše, že „zabezpečit jeden systém v organizaci vychází ve vyšším režimu přibližně na 800 tisíc až 1,5 milionu korun“. A doplňuje, že se jedná jen o „hrubý odhad“. Z odpovědi však není jasné, co přesně znamená „systém“. A doplnit je třeba i fakt, že zabezpečit se budou muset nejen soukromé firmy, ale také úřady; nová pravidla tedy budou mít dopad i na státní rozpočet.
Většina firem začne od nuly
Počet institucí a firem, které se budou muset se zákonem o kybernetické bezpečnosti vypořádat, NÚKIB pouze odhaduje na zmíněných nejméně šest tisíc, přesně je však určit nedokáže. „Směrnice NIS 2 zjednodušeně stanovuje, že existují regulované služby a že regulováni jsou ti, kteří tyto služby poskytují a jsou velkým nebo středním podnikem. Pro výpočet velikosti podniku je potřeba znát jak počet zaměstnanců, tak hodnotu obratu a celkových aktiv,“ vysvětluje mluvčí mluvčí úřadu Marek Vala a připomíná, že NÚKIB pro získání dalších dat, která by mohla počet dotčených firem vymezit, nemá zmocnění.
Vedle „středních“ či „velkých“ se ale regulace dotkne i menších firem, pokud jsou s těmi středními a velkými propojené například v rámci holdingu a podnikají v odvětví, které bude stát, respektive NÚKIB na základě evropské směrnice kontrolovat.
Podle dostupných informací je ovšem pravděpodobné, že řada společností bude s ochranou před digitálními nástrahami začínat v podstatě od nuly. Z letošního průzkumu konzultantské společnosti EY vychází, že kyberbezpečnostní opatření na úrovni směrnice NIS 2 mají v současné době jen dvě procenta dotázaných firem. Další průzkum, tentokrát agentury Ipsos pro společnost Appsec, zase zjistil, že až 80 procent tuzemských IT pracovníků neví, jestli se nová pravidla vztahují na jejich firmu, a celá pětina z nich dokonce ani netuší, co směrnice NIS 2 je. Zmíněné šetření EY také zjistilo, že 52 procent firem se zatím na nová, přísnější pravidla ani nezačalo připravovat.
To potvrzují i zástupci kyberbezpečnostního byznysu. Podle nich tuto oblast už řeší zejména firmy se zahraničními vlastníky. „Nižší úroveň kybernetické bezpečnosti podle našich zkušeností mají zejména firmy s lokálním vlastnictvím, tedy ryze české společnosti, nebo státní správa či zdravotnické instituce,“ říká Tomáš Kubíček z poradenské společnosti BDO. „Nebudu se moc plést, když odhadnu, že 90 procent takovýchto společností to neřeší vůbec,“ doplňuje konzultant Petr Vejmělek ze společnosti Aricoma.
Nové lidi bude potřebovat i NÚKIB
Otázkou také zůstává, jak se projeví nové povinnosti firem na trhu s odborníky na kybernetickou bezpečnost. „Už teď je jich absolutní nedostatek,“ upozorňuje Kubíček. Podle něj chybějí i dnes v tomto odvětví tisíce lidí a situace se zřejmě jen tak nezlepší, protože „vychovat je není otázka roku nebo dvou“.
„NÚKIB si uvědomuje stav věcí, tedy že na trhu je bohužel nedostatek odborníků, a stanovení minimálních požadavků je alespoň naše snaha umožnit organizacím si takové specialisty vychovat,“ odpověděl mluvčí úřadu na dotaz, zda NÚKIB má alespoň odhady, jak velkou poptávku po kyberbezpečnostních expertech zavedení nových pravidel do praxe vyvolá. Vala zdůrazňuje, že pro firmy s nižšími povinnostmi bude platit, že by měly zaměstnávat „alespoň někoho, kdo se problematikou kybernetické bezpečnosti bude zaobírat. Zákon neklade žádné extrémní nároky například na vzdělání dané osoby“.
Desítky nových pracovníků ale bude muset najmout i samotný NÚKIB, který za stát dohled nad kyberprostorem vykonává. Server Lupa přitom nedávno upozornil, že se úřad potýká s vysokou fluktuací zaměstnanců: za minulý rok například přijal 100 nových zaměstnanců, během stejného období jich ale 80 odešlo.
Vysoké náklady na kyberbezpečnostní opatření, nedostatek lidí na trhu ani velký počet regulovaných subjektů ale zavedení nového zákona nezastaví. Kvůli zdržení při tvorbě legislativy sice dojde k jeho odkladu o pár měsíců, novým pravidlům se ale firmy ani státní úřady a organizace nevyhnou.
