Partner webuRoger logo
Předplatit časopis Finmag

Obří změna pro tisíce firem. NIS2 je větší než GDPR, varují experti

Michal Hron
Michal Hron
21. 2. 2023
 102 048

Na tisíce českých firem čeká už brzy nová povinnost nazvaná NIS2. Široce diskutovaná evropská směrnice má za cíl razantně posílit kybernetickou ochranu podnikatelů i státních organizací v EU. Náklady na její zvýšení ponesou samy firmy, a to skrze potřebná technická, provozní a organizační opatření, které si implementace vyhlášky vyžádá. Na co se tedy připravit?

Obří změna pro tisíce firem. NIS2 je větší než GDPR, varují experti
Nová povinnost pro tisíce firem: směrnice NIS2 má zvýšit kyberbezpečnost v celé Evropské unii (ilustrační foto) / Zdroj: Shutterstock

Koho přesně se bude nová povinnost týkat, je zatím nejasné; aktuálně se čeká, až se směrnice NIS2 zanese do českého právního řádu. Stát se tak má prostřednictvím nového zákona o kybernetické bezpečnosti (NZKB) a prováděcích vyhlášek, které připravuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

Liší se proto zatím i odhady, kolika firem se nová povinnost dotkne. Záleží mimo jiné právě na tom, jak se k předpisu postaví NÚKIB. „Minimální okruh povinných subjektů stanovuje samotná směrnice NIS2, nicméně tento okruh lze na národní úrovni dále rozšířit a NÚKIB jasně deklaroval, že tuto možnost využije,“ říká Michal Moroz, výkonný ředitel Asociace kritické infrastruktury ČR.

Robert Šuman
Eset

Hackeři útočí hlavně na firmy, říká expert na malware. Na co si dát na síti pozor?

Hackeři se sice v poslední době zaměřili už téměř výhradně na velké firmy, i běžní uživatelé by ale měli zůstat opatrní, hlavně na sociálních sítích. „O uživatelích se dají vytáhnout informace, které jsou až fantaskní,“ upozorňuje vedoucí analytického týmu ESET Robert Šuman v bonusovém díle podcastu Future Is Now.

Jisté podle něj je, že nová pravidla se budou týkat všech subjektů kritické infrastruktury, vybraných služeb definovaných zákonem a také většiny středních a velkých podniků v 18 klíčových odvětvích (s víc než 50 zaměstnanci a/nebo s obratem přesahujícím 10 milionů eur = asi 237 milionů Kč ročně). „Konečný okruh povinných osob se však ještě nepochybně rozšíří, především o menší organizace podnikající v některém z kritických odvětvích,“ dodává Moroz.

Konkrétně by se směrnice NIS2 mohla dotknout i víc než deseti tisíc českých firem. Moroz vychází nejen z předběžných odhadů NÚKIB, které mluví o šesti tisících firem, ale i neoficiálních debat na menším Slovensku; zde se hovoří o až devíti tisících povinných subjektů. Pro srovnání, předchozí směrnice NIS se v Česku týká zhruba 600 firem.

„Dopady směrnice budou obří. Uvědomme si, že se bavíme o tisících subjektů. U těch největších se investiční náklady mohou vyšplhat i do stovek milionů korun a provozní náklady do desítek. V porovnání s NIS2 je, co do nákladů na implementaci, i GDPR malá,“ říká partner poradenské společnosti Grant Thornton Jan Zajíček.

Firmy musí reagovat flexibilněji a zavádět nové postupy i technologie, které jim umožní lépe čelit podvodným jednáním.

Kyberútoků na firmy přibývá

Nová pravidla se tak budou týkat i segmentů, které doteď kybernetickou bezpečnost prakticky neřešily. Podle Moroze přitom platí, že řada organizací svou kybernetickou bezpečnost dlouhodobě zanedbává. „Hlavní výhoda je zřejmá. Dostanou vnější impuls, který je donutí tuto praxi přehodnotit a začít si svá aktiva lépe chránit. Mohou tím předejít násobně větším ztrátám,“ poukazuje na neustále rostoucí a sofistikovanější kybernetické útoky.

Datova centra
Shutterstock

Riziko pro Evropu. Útok na datová centra by měl katastrofální ekonomické dopady

Datová centra v Evropské unii mohou být při vyostření konfliktu s Ruskem slabým a zranitelným místem. Jejich provoz totiž vyžaduje velkou spotřebu energie. Kritikou navíc nešetří ani klimatičtí aktivisté, kteří blokují výstavbu nových areálů, a s regulací se přidává i Brusel. Jaká je tedy jejich budoucnost?

Například studie PwC Global Economic Crime and Fraud 2022 z konce loňského roku poukázala, že téměř polovina firem v posledních dvou letech zaznamenala nějaký typ hospodářské kriminality. Nejohroženější jsou přitom společnosti podnikající v technologiích, mediálním prostoru či telekomunikacích, vyplývá ze studie mezi 1300 top manažery v 53 zemích světa.

Zatímco počet napadených firem za poslední dva roky víceméně neroste (46 %), výjimkou jsou právě technologické firmy, kde došlo k rapidnímu nárůstu. Zkušenost s útokem přiznávají téměř dvě třetiny (64 %) firem, které se zabývají technologiemi, komunikací nebo působí v mediálním prostoru. Všem bez výjimky pak rostou ztráty způsobené takovými útoky.

„V posledních dvou letech, nejen v zahraničí, ale i v Česku, firmy nejvíc čelí podvodům v kyberprostoru, které tak překonaly na čele pomyslného žebříčku fraudy způsobené klienty. Klíčové je, aby firmy na tyto změny reagovaly flexibilněji a zaváděly nové postupy i technologie, které jim umožní těmto typům podvodných jednání lépe čelit,“ říká expertka PwC Kateřina Halásek Dosedělová. Do budoucna podle ní bude počet útoků růst.

Víc než polovina českých manažerů neabsolvovala žádné školení v oblasti kybernetické bezpečnosti. Důsledkem tedy je nedostatečné povědomí...

Bez změny smýšlení to nepůjde

Rostoucí množství kybernetických incidentů navíc ukazuje, že už zdaleka nejde jen o teorii. Přestože tak pro podniky, kterých se NIS2 nově dotkne (například z oblasti potravinářství či odpadového hospodářství), může být implementace nových mechanismů náročná, není podle expertů radno s přípravami otálet. Podle Moroze se to ovšem neobejde bez změny smýšlení.

Kybernetická bezpečnost po Česku
Shutterstock

Kyberbezpečnost po česku: tři řádky v Excelu a liknavý přístup vedení

Kolikrát v uplynulém roce pozvala průměrná firma na poradu vedení bezpečnostního manažera? Jestli jste si odpověděli, že ani jednou, nebudete daleko, píše v komentáři Tomáš Kudělka, ředitel technologického týmu KPMG. A zamýšlí se nad tím, jak to změní přísnější kyberbezpečnostní směrnice NIS 2.

„Nová pravidla pomohou majitelům firem pochopit, že cílem útoku může být každý, že kybernetická bezpečnost není samozřejmost, že aktivní opatření jsou naprostá nutnost, že náklady s tím spojené nejsou vyhozené peníze, ale že se jim bohatě vrátí na zvládnutých incidentech a na ztrátách, které nenastanou,“ říká.

Partner Grant Thornton Zbyněk Bolcek náklady na implementaci NIS2 odhaduje u největších subjektů kritické infrastruktury i na stovky milionů korun a provozní náklady v řádu desítek milionů. „U méně kritických provozů a menších firem mohou být náklady o řád až dva nižší. Investovat se bude muset nejen do hardwaru a softwaru, ale především do lidí a organizačních opatření,“ ilustruje náročnost nových pravidel.

Právě vysoké náklady na pořízení bezpečnostního řešení přitom firmy uvádějí jako jednu z hlavních překážek. Ukázal to i průzkum mezi vedoucími pracovníky jiných než IT oddělení, který si nechala na začátku letošního roku zpracovat společnost Sophos. Podle něj se domácí firmy sice obávají problémů s realizací zakázek a sníženou schopností poskytovat své služby, které by mohl způsobit kybernetický útok, současně ale i vysokých nákladů a dalších překážek.

Například onu vysokou cenu bezpečnostních řešení a služeb považuje za největší překážku v zajištění kybernetické bezpečnosti firmy víc než polovina (53 %) vedoucích pracovníků. Ve větší míře tento problém uvádějí malé podniky (59 %) oproti velkým (48 %). Téměř každý třetí manažer (34 %) navíc přiznává, že velkým problémem je i nedostatek času či nedostatečná informovanost zaměstnanců (25 procent z oslovených manažerů).

„Víc než polovina (58 %) českých manažerů neabsolvovala žádné školení v oblasti kybernetické bezpečnosti. Důsledkem tedy je nedostatečné povědomí o potenciálních hrozbách, ale také neochota provádět změny ke zlepšení úrovně ochrany,“ říká Patrick Müller ze společnosti Sophos.

Pět zásadních otázek a odpovědí k NIS2

  1. Proč se o NIS2 tolik mluví?

    Protože je to po GDPR druhá evropská právní norma, která se dotkne téměř všech středních a velkých podniků v celounijním měřítku. Přitom s sebou ponese nemalé náklady spojené se zaváděním opatření technické, provozní a organizační povahy, jejichž výsledkem má být razantní posílení kybernetické ochrany podnikatelů i státních organizací v EU.

  2. Koho se budou nová pravidla týkat?

    To je zatím jasné jen částečně. Minimální okruh povinných subjektů stanovuje samotná směrnice NIS2, nicméně tento okruh lze na národní úrovni dále rozšířit a NÚKIB jasně deklaroval, že tuto možnost využije. Jisté tedy je, že nová pravidla se budou týkat všech subjektů kritické infrastruktury (určených podle další nové evropské směrnice CER), všech subjektů poskytujících některé vyjmenované služby (nehledě na jejich velikost) a také většiny středních a velkých podniků v 18 klíčových odvětvích (s víc než 50 zaměstnanci a/nebo s obratem přesahujícím 10 milionů eur ročně). Konečný okruh povinných osob se však ještě nepochybně rozšíří především o menší organizace podnikající v některém z kritických odvětvích.

  3. Představuje NIS2 evoluci, nebo revoluci?

    Jak pro koho. Pro subjekty kritické infrastruktury, pro které platí povinnosti podle současného zákona a které jsou už dnes zvyklé řídit kybernetická rizika v souladu se zákonem, půjde spíše o evoluci. Pro nově určené podniky však půjde o revoluční změny. Zákon zavede dva režimy povinností – vyšší a nižší. Rozdíly budou dány především rozdílnou mírou rizika, různou mírou státem kladených požadavků a způsobem kontroly jejich dodržování.

    Konkrétní kritéria pro zařazení do vyšší kategorie sice stanoví vyhláška, nicméně pro zjednodušení lze říct, že současné povinné osoby spadnou do režimu s vyšší povinností. Klíčovou povinností bude stanovení rozsahu řízení kybernetické bezpečnosti. Pokud poskytovatel regulované služby tento krok neprovede, bude se za rozsah řízení kybernetické bezpečnosti považovat celá organizace. Následně organizace přijme bezpečnostní opatření, podrobně stanovená vyhláškami pro každý režim zvlášť.

    Bezpečnostní opatření stanovená pro režim vyšších povinností budou vycházet z dosavadní právní úpravy. Základním principem bude zmapování prostředí, identifikace aktiv nezbytných pro zajištění chodu regulovaných služeb, komplexní posouzení rizik a zavedení přiměřených opatření, jimiž se daná rizika sníží na akceptovatelnou úroveň. Pro režim nižších povinností stanoví vyhláška pravidla, která budou jednodušší, méně náročná a nebudou vyžadovat větší než nezbytně nutnou míru analýzy.

  4. Na co se dá připravit?

    Každá organizace do 90 dní od účinnosti zákona sama posoudí, zda splňuje kritéria poskytovatele regulované služby, a pokud ano, bude povinna se zaregistrovat na portálu NÚKIB. Jeho prostřednictvím bude probíhat také hlášení incidentů. Kontrola plnění povinností se bude v obou režimech lišit. V režimu vyšších povinností bude kontroly i nadále provádět NÚKIB. V režimu nižších povinností budou mít organizace povinnost zajistit na své náklady pravidelnou kontrolu autorizovanými inspektory, na jejichž činnost bude NÚKIB dohlížet.

    V případě zjištěných nedostatků bude NÚKIB oprávněn uložit nápravná opatření k odstranění zjištěných nedostatků, v závažnějších případech bude oprávněn vydat výstrahu, případně uložit sankci. V případě spáchání přestupků bude úřad oprávněn ukládat pokuty, jejichž horní hranice vychází z požadavků směrnice NIS2. V režimu vyšších povinností počítá připravovaná legislativa i s dalšími tresty, mezi něž patří pozastavení platnosti certifikace a pozastavení výkonu řídící funkce fyzické osobě, o kterém bude na základě návrhu NÚKIB rozhodovat soud.

  5. Kdy se začít chystat?

    Ideálně hned. A to přesto, že nový zákon o kybernetické bezpečnosti momentálně ještě čeká celý legislativní proces. NÚKIB nicméně jeho přípravu velmi transparentně komunikuje a v lednu 2022 zveřejnil paragrafové znění včetně návrhů prováděcích vyhlášek. Návrhy ještě nepochybně doznají dílčích změn, nicméně podstatné parametry jsou definované evropskou směrnicí, tedy jsou zřejmé už dnes.

    Hlavním důvodem, proč řešení neodkládat, je nedostatek odborníků na kybernetickou a informační bezpečnost. Zavedení nových pravidel v celoevropském měřítku tento problém ještě umocní, protože povede k výraznému růstu poptávky po těchto expertech a s klesající nabídkou poroste jejich cena. Ať už se tedy rozhodnete postavit vlastní interní tým, nebo se spolehnete na pomoc externích specialistů, neváhejte a vyberte je dřív, než je získá někdo jiný.

Autor: Jan Zajíček, partner Grant Thornton a Michal Moroz, výkonný ředitel Asociace kritické infrastruktury ČR

Sjednocení pravidel, které NIS2 v oblasti kyberbezpečnosti přináší, bylo nutné. Ukázal to nejen konflikt na Ukrajině...

NIS2 je potřebná změna

Oslovení odborníci přesto obavy z nové směrnice mírní. „Pro ty, kteří svá rizika aktivně řídí a svou ochranu nepodceňují, může NIS2 posloužit jako dobrý benchmark. Z celospolečenského hlediska pak tato legislativa nepochybně přispěje k celkovému posílení odolnosti české kritické infrastruktury, což je v zájmu státu, občanů i firem,“ říká Moroz.

Řešít ve firmě bezpečnostní rizika?

Současně však apelují na včasnou přípravu. A to i přesto, že závazné datum a rozsah implementace bude znám až po schválení nového zákona. „Nicméně předpokládám, že firmy nová pravidla začnou implementovat už v průběhu příštího roku, neboť rozsah nových povinností je velmi široký a zasahuje prakticky kompletní fungování společnosti,“ upozorňuje Bolcek s tím, že už nyní je na trhu nedostatek specialistů, kteří jsou schopni potřebná řešení zajistit.

„Jsem přesvědčený, že sjednocení pravidel, které NIS2 v oblasti kyberbezpečnosti přináší, bylo nutné. Nejen konflikt na Ukrajině ukázal, že řešení kybernetických hrozeb je esenciální ke zvýšení bezpečnosti všech občanů v České republice,“ hodnotí novou povinnost Zajíček.

Pro konkrétní povinnosti, které ze směrnice NIS2 vyplývají, doporučují všichni experti navštívit informační web nis2.nukib.cz, kde lze najít vše potřebné. Právě otevřenost úřadu v této záležitosti chválí. „Kéž by takhle aktivně a otevřeně komunikovaly všechny české úřady,“ uzavírá Moroz.

Podnikavé ČeskoFinmag.cz

Kam dál? Podnikavé Česko na Finmagu:

Jak jde dohromady byznys a medicína? Dočtete se v novém Finmagu

Je medicína byznys? Jak pro koho. „Frustraci mladých lékařů chápu. Nemají ani na chůvu, aby jim pohlídala děti, když pracují,“ říká přednosta chirurgické kliniky Robert Lischke.

Finmag předplatnéZdroj: Finmag

MEDICÍNA A BYZNYS

Jak venkovští praktici nepřicházejí o iluze • Ženy mění medicínu • Nejstarší pražská nemocnice objektivem Alžběty Jungrové • Nejdražší léky na světě • Obézních přibývá, Česko dohání USA.

BYZNYS JE HRA

„Investice do umění se do tabulek nevtěsná,“ říká Pavlína Pudil z Kunsthalle • Nejdražší materiál roku 2023? Hrst štěrku z vesmíru za miliardu dolarů • Ekologie musí být podle Tomáš Nemravy, výrobce dřevěných domů, ekonomická.

Daňové přiznání online

Ohodnoťte článek

-
-18
+

Sdílejte

Diskutujte

Vstoupit do diskuze
Michal Hron

Michal Hron

Šéfredaktor webu Finmag.cz. Novinář s dlouholetou praxí z největších českých médií, milovník moderních technologií i přístupů, ale i čisté nedotčené přírody. Po krachu vydavatelství Mladá fronta přešel... Více

Související témata

byrokraciebyznysEUkyberbezpečnostkyberzločinNIS2počítačová kriminalitapodnikáníPodnikavé Česko
Daňové přiznání online

Aktuální číslo časopisu

Předplatné časopisu Finmag

Věda je byznys –⁠ byznys je věda

Koupit nejnovější číslo