Hrozba kybernetických útoků na celém světě roste, i proto Evropa zpřísňuje regulaci na obranu proti nim. A vyšší nároky v této oblasti se brzy dotknou i českých firem. Podle některých však jde jen o zbytečnou administrativu.
Metrikou peněz mají být kybernetické hrozby brzy nákladnější než celosvětové škody způsobené přírodními katastrofami. Hackerské útoky, zejména na kritickou infrastrukturu, přitom mohou přinášet i další nebezpečí. I proto čeká české firmy zásadní změna.
Od ledna příštího roku má totiž nabýt účinnosti nový Zákon o kybernetické bezpečnosti, který stanovuje nové a přísnější požadavky na ochranu proti hrozbám v online prostoru. Právní úprava, která vychází z evropské směrnice NIS2, se přitom už netýká jen velkých hráčů nebo kritické infrastruktury, ale tisíců firem napříč různými sektory, včetně poštovních zásilek nebo potravinářství.
Cílem návrhu je především předcházet možným incidentům v kybernetické bezpečnosti prostřednictvím preventivních bezpečnostních opatření, a pokud už k incidentu v rámci společnosti dojde, k jejich efektivnímu nahlašování.
Dotčeným firmám přináší zásadní změnu zejména v oblasti povinností v oblasti monitoringu a vyhodnocování kybernetických hrozeb. Firmy budou muset zavést robustnější bezpečnostní opatření, včetně pravidelných auditů a testování svých systémů.
Podle Michaely Holíkové z advokátní kanceláře Rowan Legal zahrnují opatření jak požadavky na vrcholné vedení, stanovení rolí a bezpečnost lidských zdrojů, tak na řízení rizik či kontrolu dodavatelů až po opatření spojená s technologiemi.
„Mezi ty patří bezpečnost používaných aplikací, správa a ověřování identit nebo bezpečnost komunikačních sítí. Nakonec budou firmy povinny zavést opatření, která nelze zařadit ani do jedné z předešlých kategorií, jako je provádění auditů kybernetické bezpečnosti či plnění dalších regulatorních povinností,“ vysvětluje Holíková.
Kybernetický útok může vyřadit z fungování celou firmu, a to až na několik týdnů.
Jedním z cílů přísnějších požadavků je zvýšení bezpečnosti u většiny významných odvětví, které jsou důležité pro fungování společnosti.
„Jedná se obecně o oblast veřejné správy a výkonu veřejné moci, energetiku, vodní a odpadové hospodářství, oblast dopravy, digitální infrastrukturu a služby, finanční trh, zdravotnictví, vědu, výzkum a vzdělávání nebo poštovní a kurýrní služby,“ vyjmenovává Holíková s tím, že mezi regulovaná odvětví však patří i výrobní, potravinářský, chemický, obranný a kosmický průmysl.
„Celkově tedy dochází k rozšíření regulace, a to s ohledem na rostoucí závislost společnosti na digitálních technologiích. Kybernetický útok či jiný incident pak může vyřadit z fungování celou firmu, a to až na několik týdnů,“ dodává Jan Sůra, partner v advokátní kanceláři Portos.
Regulace tak podle právníků reaguje na vývoj hrozeb a na fakt, že dopady kybernetických incidentů se často neomezují pouze na sektor, kde k incidentu dojde.
V tuzemsku by se tak zákon měl dotknout také firem, jako je jihočeská mlékárna Madeta, výrobce vinylových desek GZ Media či prodejce koupelen a kuchyní Siko.
„Chápu, že pro mnoho firem to bude bič, který je konečně přinutí zamyslet se nad kybernetickou bezpečností, v tom vidím přínos,“ říká pro Forbes Slavomír Veselý ze společnosti Siko. Vzápětí však dodává, že pro řadu firem přinese úprava dodatečné náklady nikoli na samotné řízení rizik, ale především na administrativu s tím spojenou.
„Pro firmy, jako je Siko, které berou kybernetickou bezpečnost vážně, to bude znamenat dodatečné náklady, z nichž nejsme nadšení. Mám na mysli hlavně různá dodatečná byrokratická a administrativní opatření, která je nutné zavést,“ tvrdí.
Zbytečné obavy
Podle Martina Švédy z Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) však u firem často dochází k nepochopení zákona a s ním souvisejícím zbytečným obavám. „Častým nepochopením spojeným se zákonem je, že se mají zavádět všechna opatření v zákoně uvedená – to není možné ani chtěné,“ vysvětluje Švéda.
Opatření mají podle něj odpovídat potřebám organizace a tomu, co je pro ni přiměřené. V tomto zákon nijak nevybočuje od toho, jak se ke kybernetické bezpečnosti přistupuje napříč světem.
Právě NÚKIB přitom představuje v tuzemsku zásadní instituci v oblasti kybernetické bezpečnosti, která se kromě implementace nové legislativy snaží také o osvětu v této oblasti. I proto najdou firmy přehled toho, jak se nejlépe na nový zákon připravit, na stránkách zmiňovaného úřadu.
„Existují určitě i takové organizace, které si exponenciální nárůst hrozeb z kyberprostoru v posledních letech ještě neuvědomují a pro ně pak bude dosažení optimální úrovně kybernetické bezpečnosti náročnější,“ zdůrazňuje Švéda.
Nová úprava klade důraz i na bezpečnost dodavatelů. Důvodem jsou častější útoky v rámci dodavatelského řetězce, například nedávný případ softwarové společnosti Solarwinds, prostřednictvím které získali hackeři přístup do dat tisíců klientů firmy, včetně americké vlády.
„Největší slabiny a potenciální vektory útoku na firmy často vedou přes dodavatelský řetězec. Je tedy nutné, aby firmy především dobře znaly své dodavatele a uvědomovaly si rizika, která mohou pro jejich IT prostředí představovat,“ popisuje advokát Sůra.
Podle Michaely Holíkové klade bezpečnostní požadavky na dodavatele už dřívější úprava z roku 2014. „V nové úpravě však dojde k zavedení nových povinností mezi povinným subjektem a dodavatelem. Mezi ně patří mimo jiné definování způsobu předávání informací a dat mezi poskytovatelem a dodavatelem, omezení rizik spojených s dodavatelem a prověřování plnění bezpečnostních opatření v rámci dodavatelského řetězce,“ vysvětluje.
Vše podle Martina Švédy směřuje pouze k tomu, aby si organizace i bez ohledu na zákon uvědomily, že se svět změnil a že kybernetické hrozby jsou skutečně reálné. „Čím dříve se začne vedení organizace této otázce věnovat, tím pro organizaci lépe,“ uzavírá.