Obří pokuty a tuna nových povinností. Směrnice NIS2 nemá ve světě obdoby

Směrnice NIS2 (Network and Information Security) ve zkratce uvádí, že dotčené firmy a organizace by měly používat přístup založený na všech rizicích, včetně například rizika lidského faktoru, selhání systému, škodlivých činitelů, přírodních katastrof a fyzického a environmentálního zabezpečení systémů. A zavádí reportovací povinnost ohledně řešení incidentů a osobní zodpovědnost managementu. Další povinností je pak mít připravené záložní plány pro případ kybernetického útoku, aby činnost mohla pokračovat (business continuity).

Všechny tyto povinnosti se mají týkat středních a velkých organizací, především působících v energetice, síťových odvětvích, infrastruktuře, zdravotnictví (včetně například lázeňských zařízení!), státní správě, dopravě a v bankovnictví. Tato odvětví jsou označována za kriticky důležitá. Nekončí ale jen u nich, spadají sem také poštovní a kurýrní služby, zpracování odpadu, chemický, potravinářský i jiný průmysl. A konečně digitální služby a výzkum.

NIS2 se tak ve svém důsledku může týkat i malých organizací s méně než deseti zaměstnanci a s obratem pod dva miliony eur (asi 48.6 milionu Kč) ročně, pokud je jejich činnost jakkoli strategicky důležitá. Zde je deset bodů, které představují minimální bezpečnostní opatření podle NIS2:

1. Zásady analýzy rizik a bezpečnosti informačních systémů
2. Řešení incidentů
3. Kontinuita provozu, například řízení zálohování a zotavení po havárii, a krizové řízení
4. Bezpečnost dodavatelského řetězce, včetně bezpečnostních aspektů týkajících se vztahů mezi jednotlivými subjekty a jejich přímými dodavateli nebo poskytovateli služeb.
5. Bezpečnost při pořizování, vývoji a údržbě sítí a informačních systémů, včetně nakládání se zranitelnostmi a jejich odhalování
6. Zásady a postupy pro hodnocení účinnosti opatření pro řízení rizik v oblasti kybernetické bezpečnosti
7. Základní postupy kybernetické hygieny a školení v oblasti kybernetické bezpečnosti
8. Zásady a postupy týkající se používání kryptografie a případně šifrování
9. Bezpečnost lidských zdrojů, zásady řízení přístupu a správa aktiv
10. Používání vícefaktorové autentizace nebo řešení průběžné autentizace, zabezpečené hlasové, video a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu tam, kde je to vhodné

Je zřejmé, že seznam je značně obsáhlý – natolik, že bezchybné splnění všech bodů pomocí vlastních personálních zdrojů nemusí být úplně snadné ani pro velké podniky. Především pasáže týkající se počítačových sítí, informačních systémů a kryptografie jsou značně náročné a pro neodborníka neprůhledné. Česká verze návrhu zákona včetně prováděcích předpisů má navíc celkem 151 stran a není to žádné lehké čtení na dovolenou.

Celkové náklady mohou podle velmi hrubého odhadu činit 800 tisíc až 1,5 milionu Kč na jeden zabezpečovaný systém.

NIS2 – kolik to bude stát?

Zde je třeba dodat, že sankce za případné porušení mohou být drakonické: maximální výše správní pokuty může dosáhnout sedmi milionů eur (přes 170 milionů Kč!) anebo 1,4 procenta celkového globálního obratu dané firmy za uplynulý rok. „Podle toho, co je vyšší,“ uvádí návrh zákona.

Proto, když zadáte do Googlu klíčové slovo „NIS2“, ukáže se vám plejáda sponzorovaných odkazů právnických kanceláří a konzultačních společností, které vám rády nabídnou své služby, aby vaše organizace nebyla jednou vystavena masivní pokutě. A aby vaše manažerské křeslo neobsadil někdo jiný.

Se souhlasem Kateřiny Hůtové

Směrnice NIS2? Nahlásit se musíte sami, hrozí extrémní pokuty, varuje expertka

Směrnice NIS2 bude velkou změnou, která se dotkne víc než šesti tisíců subjektů v Česku. Po zkušenostech s implementací GDPR se ovšem stát a experti na kybernetickou bezpečnost snaží komunikovat vše potřebné s předstihem. Jednotlivé dopady na firmy vysvětluje v rozhovoru pro Finmag.cz spoluzakladatelka konzultantské společnosti Cybrela Kateřina Hůtová.

A když už jsme zmínili Google: direktivě podléhají všechny firmy působící na území EU, bez ohledu na jejich sídlo.

Vraťme se však do Česka. „Z důvodu rozsahu transponované směrnice dojde k přinejmenším patnáctinásobnému nárůstu regulovaných subjektů, což přinese značné ekonomické a finanční dopady na podnikatelské prostředí v ČR,“ uvádí Závěrečná zpráva hodnocení dopadů regulace (RIA).

Tatáž zpráva nicméně konstatuje, že „absence regulace bezpečnosti dodavatelského řetězce by tak v budoucnu mohla vést ke zhoršení pozice podnikatelských subjektů působících v ČR, neboť by nemohly nabídnout stejnou míru bezpečnosti svého produktu či služby jako subjekty působící ve státech, které obdobnou regulaci přijaly. Nepřijetí předmětné právní úpravy by tedy mohlo vyvolat nucené odmítání dodávek českých společností zahraničními odběrateli kvůli bezpečnostním a strategickým hrozbám plynoucím z dodávek subdodavatelů.“

Na dalším místě zprávy se uvádí, že celkové náklady mohou podle velmi hrubého odhadu činit 800 tisíc až 1,5 milionu Kč na jeden zabezpečovaný systém.

Jinými slovy: bude to sice drahé, ale dělají to všichni, takže je to povinnost.

V USA je kybernetická bezpečnost řešena na různých úrovních vlády a přes různé sektory, ale neexistuje jednotná federální norma.

Potřebujeme NIS2?

Zde vzniká otázka, do jaké míry je direktiva NIS2 (respektive národní zákony vzniklá transpozicí této direktivy) skutečnou nutností. Nejde především o zaměstnanost zákonodárců a o zakázky pro právnicko-konzultační komplex, jak tvrdí někteří cynici?

Shutterstock

Obří změna pro tisíce firem. NIS2 je větší než GDPR, varují experti

Na tisíce českých firem čeká už brzy nová povinnost nazvaná NIS2. Široce diskutovaná evropská směrnice má za cíl razantně posílit kybernetickou ochranu podnikatelů i státních organizací v EU. Náklady na její zvýšení ponesou samy firmy, a to skrze potřebná technická, provozní a organizační opatření, které si implementace vyhlášky vyžádá. Na co se tedy připravit?

Kalifornská společnost Cybersecurity Ventures uvádí, že kyberkriminalita bude v roce 2023 stát svět osm bilionů dolarů (přes 181 bilionů Kč). ENISA (Evropská agentura pro kybernetickou bezpečnost) pak uvádí, že objem dat ukradených při kybernetických útocích dosáhl v roce 2021 více než 260 terabytů. A průměrné náklady na jeden případ narušení bezpečnosti dat činí 4,45 milionu dolarů (přes sto milionů Kč), odhaduje IBM.

I kdyby tato čísla byla nadsazená, bezpečnostní opatření se určitě nevyplatí podceňovat. Je ale velkou otázkou, zdali masivní a poněkud těžkopádná direktiva transponovaná ve stylu EU do národních zákonů je tím nejlepším řešením. Spojené státy americké například doposud nemají federální legislativu, která by byla přímo srovnatelná s evropskou direktivou NIS2.

V USA je kybernetická bezpečnost řešena na různých úrovních vlády a přes různé sektory, ale neexistuje jednotná federální norma. Některé federální agentury, jako je například Cybersecurity and Infrastructure Security Agency (CISA), vydávají směrnice a normy, ale ty často nejsou závazné.

Na druhou stranu, existuje zde několik zákonů na federální úrovni, které se věnují kybernetické bezpečnosti v určitých sektorech, jako je zdravotní péče (HIPAA) a finanční služby (GLBA). Některé státy mají také vlastní zákony týkající se kybernetické bezpečnosti, ale ty se mohou lišit od státu k státu.

Direktiva GDPR nijak nepomohla ochránit vaše osobní údaje. Pouze maří váš čas nutností odklikávat ustavičné souhlasy se soubory cookies.

Příslib či hrozba jménem NIS2

Jak bývá obvyklé u složitých zákonů a systémů, ďábel je v detailech. Prozatím nelze určit, zda NIS2 je nepostradatelným nástrojem v boji proti počítačové kriminalitě anebo zda skončí spíše jako formalita, která nepomáhá a jen vytváří dodatečné náklady.

Zde je nutno zmínit direktivu GDPR. Ta nijak nepomohla ochránit vaše osobní údaje. Pouze maří váš čas nutností odklikávat ustavičné souhlasy se soubory cookies.

To však není to nejhorší. Podstatné je, že z GDPR se stala překážka pokroku ve vývoji nových systémů, zejména umělé inteligence. Běžnému uživateli to nemusí být nijak patrné, pro vývojáře však GDPR představuje seriózní klacek pod nohama. GDPR se tak nakonec stalo opatřením, které zvýšilo náklady firmám a zlikvidovalo polovinu nových aplikací, tvrdí Brian Chau, matematik a výzkumník v oblasti umělé inteligence.

Nezbývá než doufat, že tentokrát tomu bude jinak.

Autor je bývalý člen Národní ekonomické rady vlády, nyní působí v čele investičních fondů Algorithmic SICAV.

Finmag.cz

Kam dál? Ekonom Pavel Kohout na Finmagu:

• Nejsou rozmazlení a vydrží i nocovku. Proč neignorovat starší zaměstnance
• Inflace dvě procenta jako nedostižný cíl? Už dávno jsme níž
• Zrušme konečně zbytečné úřady. Je tu nová šance, jak upgradovat Česko
• Presumpce viny v moderním věku aneb Jak stát zametá s podnikateli
• Pozor, co sdílíte na sociálních sítích. Berňák vám to spočítá

Jak jde dohromady byznys a medicína? Dočtete se v novém Finmagu

Je medicína byznys? Jak pro koho. „Frustraci mladých lékařů chápu. Nemají ani na chůvu, aby jim pohlídala děti, když pracují,“ říká přednosta chirurgické kliniky Robert Lischke.

Zdroj: Finmag

MEDICÍNA A BYZNYS

Jak venkovští praktici nepřicházejí o iluze • Ženy mění medicínu • Nejstarší pražská nemocnice objektivem Alžběty Jungrové • Nejdražší léky na světě • Obézních přibývá, Česko dohání USA.

BYZNYS JE HRA

„Investice do umění se do tabulek nevtěsná,“ říká Pavlína Pudil z Kunsthalle • Nejdražší materiál roku 2023? Hrst štěrku z vesmíru za miliardu dolarů • Ekologie musí být podle Tomáš Nemravy, výrobce dřevěných domů, ekonomická.

Koupit Finmag