Cybersecurity Compliance
Cybersecurity Compliance

Nastal rok regulace kybernetické bezpečnosti. Zpozornět by měli hlavně statutáři

Doby, kdy největší bezpečnostní hrozbou pro vás či vaše podnikání byl dvoumetrový svalovec s kuklou a zbraní, jsou dávno pryč. Záporáky současné doby jsou nově náctiletí počítačoví mágové, kteří dokáží z pohodlí svého domova (tedy spíše domova svých rodičů) trápit technologické giganty, jako jsou firmy Microsoft nebo Nvidia. Nebo ve větším měřítku státy kontrolované nebo podporované hackerské skupiny, které se neštítí v době covidu vyřadit z provozu třeba i nemocnice.

Máte zájem o školení?

V případě zájmu účastnit se školení o kdybernetické bezpečnosti 
nás kontaktujte a my Vám sdělíme podrobnosti.

Útoky na velké korporace i infrastrukturu státu jsme koneckonců viděli i minulý týden, kdy některé weby vyřadila na delší dobu z provozu Ruskem podporovaná (pokud už ne přímo řízená) skupina, která si říká Killnet.

V reakci na tyto hrozby, nejednotnou právní úpravu kybernetické bezpečnosti napříč členskými státy a identifikovanou nedostatečnou míru kybernetické odolnosti podniků působících v EU, navrhla Evropská komise už před časem přijetí sady nových předpisů, mezi nimiž nejvýznamnější z pohledu soukromých firem jsou směrnice o posílení odolnosti kritických subjektů (CER) a směrnice o opatřeních k dosažení vysoké společné úrovně kybernetické bezpečnosti v unii, známá pod zkratkou „NIS 2“.

Proč by vás to mělo zajímat?

Kybernetická bezpečnost je a brzy bude v mnoha případech i ze zákona věcí většiny středních i větších společností a veřejných subjektů. Proces vyjednávání směrnice NIS 2 není ještě na svém konci (to se očekává v druhé polovině roku). Již nyní je ale z různých materiálů, které ukazují pokrok ve vyjednávání na evropské úrovni, zřejmé, že přinese řadu zásadních změn. Ty se pak na národní úrovni promítnou do zákona o kybernetické bezpečnosti a povedou k jeho podstatným změnám. Návrh komise především rozšiřuje oblast působnosti stávajících kyberbezpečnostních pravidel na celou řadu nových subjektů. Dle zavedeného kritéria velikosti subjektu budou do působnosti směrnice zahrnuty všechny střední a velké podniky z vybraných odvětví, na něž se má směrnice NIS 2 vztahovat a v případě vybraných základních a důležitých subjektů splňujících kritéria stanovená směrnicí NIS II budou zahrnuty veškeré tyto subjekty dokonce bez ohledu na jejich velikost.

Mezi tato odvětví patří doposud v menším rozsahu regulovaná odvětví stávající směrnicí NIS, jako je energetika, doprava, bankovnictví, zdravotnictví a poskytovatelé digitálních služeb. K nim přibudou nová doposud neregulovaná odvětví, jako jsou např. výroba, zpracování a distribuce potravin, výroba zdravotnických prostředků či motorových vozidel. Dle předběžných odhadů tak může být nově regulováno až několik stovek nových subjektů.

Jaké povinnosti vám nově vzniknou?

Směrnice NIS 2 stojí na principu analýzy a řízení rizik (tzv. risk based approach). Zavedení efektivního systému řízení rizik a řízení incidentů (včetně hlášení) tak bude naprostým základem pro splnění povinností vyplývajících z této směrnice. Mezi ta bude například spadat i povinnost posuzovat a řídit bezpečnostní rizika vyplývající z dodavatelských řetězců a dodavatelských vztahů, a to s přihlédnutím jak k technickým, tak netechnickým faktorům. Kybernetickou bezpečností se tak ve firmě bude zabývat opravdu každý. Od řadových zaměstnanců až po vedení firmy.

Vedení firmy? Není to práce firemního ajťáka?

Není. NIS 2 potvrdí tezi, že kybernetickou bezpečnost musí řešit vedení firmy. Přijatá opatření totiž budou muset přímo schvalovat a ponesou za ně odpovědnost v souladu se zásadou péče řádného hospodáře vedoucí orgány daných subjektů. Nejde totiž jen o zavedení technických opatření, ale i organizačních a právních, která na firemní IT oddělení prostě není možné delegovat.

Kdy byste se tím měli začít zabývat?

S ohledem na zvyšující se počet kyberbezpečnostních incidentů a hlavně na zvyšující se náklady, které s sebou nesou, se vyplatí kybernetickou bezpečností zabývat hned. Podle studie společnosti IBM ve spolupráci s Ponemonovým institutem byly loni průměrné ztráty z jednoho kyberbezpečnostního incidentu 4,24 miliony dolarů, což je o deset procent víc než v roce 2020. Dobrým začátkem může být školení svých zaměstnanců a managementu. Přes 80 % hackerských útoků totiž využívá chyb lidí. Co se povinností vyplývajících ze směrnice NIS II týče, její přijetí se očekává v první polovině tohoto roku. Státy pak budou mít dva roky na to implementovat nová pravidla do svých právních předpisů. V tomto ohledu již český regulátor – Národní úřad pro kybernetickou a informační bezpečnost – vyzývá odbornou veřejnost ke konzultaci nad úpravami zákona o kybernetické bezpečnosti.

Mnozí si možná připomenou bolestný proces, který jejich organizaci přinesla nutnost být v souladu s obecným nařízením o ochraně údajů – GDPR. Ač lze tyto dva případy z pohledu vyplývajících povinností srovnávat, zabývat se plošně kybernetickou bezpečností je opravdu na místě. Pokud se tedy firma nechce nechat vydírat totalitními hackery nebo náctiletými kluky.

Příště si v tomto seriálu popíšeme blíže, jaké konkrétní netechnická bezpečnostní opatření může firma zavést, aby zvýšila kybernetickou odolnost a připravila se na případné právní povinnosti vyplývající z připravovaných evropských právních předpisů, jako je směrnice NIS 2.

Navrhované články

Nastal rok regulace kybernetické bezpečnosti. Zpozornět by měli hlavně statutáři

Doby, kdy největší bezpečnostní hrozbou pro Vás či Vaše podnikání byl dvoumetrový svalovec s kuklou a zbraní, jsou dávno pryč. Záporáky současné doby jsou nově náctiletí počítačoví mágové, kteří dokáží z pohodlí svého domova (tedy spíše domova svých rodičů) trápit technologické giganty, jako jsou firmy Microsoft nebo Nvidia.

Read More »

Praktický příklad - Jak to funguje v praxi...

Pomůžeme Vám zvýšit bezpečnost.

Kontaktujte nás