Až sedm tisíc českých firem si bude muset povinně uklidit ve svém IT. Většiny středních a velkých podniků se totiž dotkne nová směrnice, kvůli které musí zavést celou řadu opatření proti kybernetickým útokům.
Unijní směrnice NIS2, která mění požadavky na kybernetickou bezpečnost ve firmách a veřejné správě, bude v Česku implementována od poloviny příštího roku. Týká se firem s víc než 50 zaměstnanci či s obratem přesahujícím deset milionů eur a výrazně tak rozšíří rádius podniků a institucí, pro které povinnosti platí. Zatímco v současné době jich je v Česku 360, nově jich bude něco mezi šesti a sedmi tisíci.
„Pro mnoho firem bude složité nové legislativě vyhovět, protože každá firma je jiná a každá má jinou úroveň ochrany kybernetické informační infrastruktury,“ upozorňuje David Skopal, advokát a expert na ochranu dat a kybernetickou bezpečnost z Advokátní kanceláře Pokorný, Wagner & partneři.
Směrnice rozšiřuje stávající legislativu – zákon o kybernetické bezpečnosti, který je u nás účinný od roku 2015 a první směrnici NIS z roku 2016. S novou právní úpravou dojde k rozšíření nejen povinných osob, ale také regulovaných odvětví, například o odvětví odpadového hospodářství.
„Společnostem, na které již dnes regulace dopadá, to zásadní komplikace nepřinese, protože už mají nastavené všechny mechanismy a IT bezpečnost berou většinou vážně. Výrazně hůře na tom budou firmy, které v současnosti regulované nejsou. Obávám se, že pro ně bude splnění zákonných povinností problém,“ podotýká David Skopal.
Hrozí vysoká pokuta
Mezi povinnosti patří například odborné školení managementu, zavedení mechanismu řízení bezpečnosti dodavatelů, nebo hlášení kybernetických bezpečnostních incidentů Národnímu úřadu pro kybernetickou bezpečnost (NÚKIB).
Návrh příslušného zákona aktuálně prošel připomínkovým procesem. I když se některé detaily a povinnosti ještě mohou měnit, už teď je v podstatě jasné, že platit začne v druhé polovině roku 2024.
Oproti stávající právní úpravě si bude muset každá organizace do 90 dní od účinnosti zákona sama zhodnotit, zda splňuje kritéria poskytovatele regulované služby, a pokud ano, bude povinna se zaregistrovat na portálu NÚKIB.
Odpovědnost ale ponese, ať to udělá nebo ne. Pokuta za nedodržování NIS 2 přitom může být až deset milionů eur.
„Určitě bych se vyvaroval tomu, aby nad tím firmy jen mávly rukou, řekly si, že se jich to netýká a tím to pro ně končí. Obávám se, že se řada firem ani nepřihlásí,“ varuje David Skopal.
Čím začít? Auditem
Další obava se týká náročnosti zavedení patřičných opatření. Na trhu nemusí být dostatek lidí, kteří by firmám s nastavením procesů pomohli. Tak zásadní zvýšení počtu regulovaných subjektů logicky způsobí obrovský nárůst poptávky po expertech na kybernetickou bezpečnost.
„Na kybernetický útok by ale měly být firmy připraveny bez ohledu na povinnou regulaci,“ vzkazuje advokát a odborník na ochranu dat a kybernetickou bezpečnost.
Jak tedy fungovat v souladu s novou legislativou, a zároveň ochránit firmu před dopady kybernetického útoku?
„Na začátku by si každá firma měla nechat udělat komplexní audit kybernetické bezpečnosti. Pomůže jí to identifikovat nedostatky vůči zákonným požadavkům a stanovit potřebná nápravná opatření,“ radí Skopal.
Audit standardně probíhá tak, že je sezván tým poradců od právníků přes IT experty, kteří projdou všechny procesy a udělají analýzu rizik. V ní pak popíší i jejich možný dopad na fungování firmy.
Kromě klasických opatření, jako jsou nastavení firewallu, dvoufázové ověřování při přístupu do firemní sítě nebo pravidla pro export dat mimo firemní servery, se v rámci auditu revidují smlouvy se zaměstnanci i dodavateli.
Do smluv se totiž musí promítnout aktuální ustanovení, která kybernetickou bezpečnost regulují. Advokáti tak dávají dohromady vnitřní předpisy, organizační řády, metodiky a řídící dokumentaci.
Rizika pro celý byznys
„Při auditu často narážíme na to, že si firma nakoupila řídící dokumentaci od někoho, kdo jí pouze přeprodal nějaký univerzální produkt. Problém však je, že taková dokumentace neřeší specifika konkrétní společnosti,“ upozorňuje David Skopal.
„Na první pohled firma sice vše splňuje, ale když jdeme do hloubky, zjistíme, že v jejím reálném provozu dané procesy nefungují,“ dodává.
Ne všechny firmy přikládají kybernetické bezpečnosti takovou důležitost, jakou by měly. Neuvědomují si veškeré dopady, které na ně jakýkoliv incident může mít, od zcizení dat a obchodního tajemství přes poškození dobrého jména až po výrazné narušení chodu firmy a následné problémy s cash flow.
S ohledem na možné značné dopady se stále častěji zmiňuje také trestněprávní odpovědnost těch zástupců společností, kteří by úmyslně neaplikovali povinnosti z právní úpravy a tím mohli způsobit třeba obecné ohrožení.
„Na druhou stranu se stále častěji setkáváme s firmami, které kybernetická bezpečnostní rizika vidí a snaží se jim předcházet bez ohledu na regulaci a na to, zda jim stát určitou úroveň ochrany nařizuje. Dělají to samy, protože chápou, do jaké míry je to může ovlivnit,“ říká expert Advokátní kanceláře Pokorný, Wagner & partneři.
„U takových firem není kyberbezpečnost jen okrajovou záležitostí, ale mnohdy ji staví na stejnou úroveň jako samotný byznys,“ doplňuje.
Pozor na slabá místa
Hybridní hrozby se totiž stále zvyšují a hackeři útočí všemi možnými způsoby. Ze zprávy o stavu kybernetické bezpečnosti České republiky za rok 2022 vyplývá, že nejvíce incidentů vloni zaznamenal veřejný sektor, následovalo zdravotnictví a soukromý sektor.
Nejčastější typy útoků představovaly různé druhy phishingu, spear-phishingu, vishingu a podvodných e-mailů či útoky na dostupnost – převážně formou DDoS útoků. Výjimkou nejsou ani ransomwarové útoky, kdy hacker zablokuje data a požaduje výkupné.
Útoku podle Davida Skopala zcela zabránit nelze, ale dají se výrazně snížit jeho dopady. Třeba právě nastavením a dodržováním firemních pravidel či zdánlivě obyčejnou aktualizací antivirů a programů. A samozřejmě také prověřováním zaměstnanců, kteří jsou na klíčových pozicích a mají přístup k citlivým datům a informacím.
„Nejdůležitější je prevence, protože řešení následků už je právně velmi komplikované. Málokdy se povede najít viníka, většinou se jedná o velmi sofistikované útoky, převážně ze zahraničí, a tam pravomoc českých úřadů nesahá,“ připomíná advokát.