Evropská směrnice NIS2 a český zákon o kybernetické bezpečnosti přináší zcela nové povinnosti pro firmy v oblasti kritické infrastruktury, digitálních služeb a dalších klíčových odvětví. Povinnost vypracovat Business Impact Analysis (BIA) patří mezi ty nejdůležitější – a zároveň i nejvíce podceňované. Přitom právě BIA může být tím, co rozhodne o přežití firmy v krizové situaci.
Zákon nově zavádí požadavky na řízení rizik, zajištění provozní kontinuity, plán obnovy po havárii nebo testování schopnosti zvládat incidenty. Jinými slovy: firmy musí být schopné nejen minimalizovat rizika kybernetickému útoku, ale v případě, že k útoku přesto dojde, tak se z něj rychle zotavit. A právě tady hraje Business Impact Analysis klíčovou roli.
Co je Business Impact Analysis a proč by vás měla zajímat?
Business Impact Analysis (BIA) není jen analytická tabulka. Je to praktický kompas, který ukazuje, jaké procesy jsou pro danou firmu skutečně klíčové, jaký časový výpadek si ještě může firma dovolit a jaké dopady by měl výpadek na finance, reputaci a provoz. Dobře zpracovaná BIA pomůže stanovit:
- RTO – Recovery Time Objective, tedy jak rychle musíte proces obnovit
- RPO – Recovery Point Objective, kolik dat můžete maximálně ztratit.
Bez těchto parametrů nelze efektivně řídit rizika. A bez řízení rizik se dnes žádná firma neobejde. A už vůbec ne pod regulací NIS2.
Jak by to mohlo vypadat v praxi?
Představte si, že dojde k útoku na banku, který vyřadí internetové bankovnictví. Klienti se nedostanou ke svým účtům, nemohou provádět platby ani spravovat své finance. S každou hodinou výpadku roste pravděpodobnost, že klienti začnou hromadně vybírat peníze. Důvěra ve stabilitu banky klesá a problém se rychle dostává do médií. Bez předem definovaného RTO a RPO nemůže IT tým efektivně obnovit provoz. Obchodní ztráty pak mohou jít do desítek milionů korun denně.
Pokud v nemocnici dojde ke kybernetickému útoku, který odstaví informační systém, lékaři ztratí přístup ke zdravotnické dokumentaci, laboratorním výsledkům i medikaci pacientů. Ohrožení života pacientů je okamžité. BIA pomáhá nemocnici určit, které procesy a systémy (např. přístup k EKG záznamům, medikace, urgentní příjem) je nutné obnovit do několika minut, a které mohou počkat. Bez této analýzy by rozhodnutí padala naslepo a s fatálními následky.
Pokud ve státním úřadu dojde k technické závadě, která vyřadí eGovernment služby, lidé nemohou podávat žádosti, firmy neobdrží potvrzení, úředníci nevidí spisy. BIA ukáže, že například daňová agenda nebo systémy pro výplatu sociálních dávek musí být dostupné téměř nepřetržitě, zatímco jiné procesy (např. správní archivace) zvládnou výpadek delší. Bez této znalosti hrozí ztráta důvěry občanů a možný kolaps služeb státu.
Logistická společnost se stane v pátek večer obětí ransomware útok, který zašifruje celý dispečink a GPS systémy vozidel. Tisíce zásilek nemají plán cesty, skladníci nevědí, co expedovat, zákazníci volají a nikdo jim nedokáže odpovědět. BIA ukáže, že i 3–4hodinový výpadek v tomto čase může znamenat zpoždění tisíců dodávek, penále od obchodních partnerů a poškození reputace. Firma, která zná své kritické procesy, má připravený plán a může obnovit aspoň částečný provoz včas.
BIA není jen papír pro regulátora. Je to pojistka byznysu
Nové požadavky často vnímáme jen jako byrokratickou zátěž. Ale dobře nastavená Business Impact Analysis je užitečnou investicí. Ukáže slabá místa, pomůže správně investovat do IT, nastavit realistický plán obnovy a připravit se na krizové situace dřív, než nastanou.
Firmy by neměly čekat, až jim nový zákon přistane na stole s varováním o pokutách. Pustit se do toho musí už teď – a ne kvůli paragrafům, ale kvůli vlastnímu byznysu. BIA pomůže ochránit to nejcennější ve firmě, zrychlit obnovu po výpadku a přesvědčit zákazníky, partnery i pojišťovny, že to má daná společnost pod kontrolou.
