Od 1. listopadu začne pro 6 000 českých firem závod s časem. Většina z nich přitom není připravena. Podle průzkumu společnosti Atos má 90 % firem nevyhovující bezpečnostní dokumentaci, procesy i personální zajištění. Bez těchto tří pilířů nelze splnit požadavky nové legislativy v oblasti kybernetické ochrany. Podobně jako u BOZP navíc za nedostatky neponese odpovědnost jen organizace, ale i konkrétní osoby – vedoucí IT či bezpečnostní manažeři, kterým hrozí vysoké pokuty i trestněprávní postih.
„Většina firem si pod zákonem o kyberbezpečnosti představí nové investice do technologií. Prvním krokem ale není nákup zabezpečení, ale revize bezpečnostní dokumentace. Jak chcete něco implementovat, když nevíte, co vlastně potřebujete?“ říká Tomáš Hlavsa, expert na kyberbezpečnost ve společnosti Atos. Ta se mimo jiné zabývá nezávislými audity, které pomáhají odhalit připravenost na příchod nové legislativy. „Oslovili jsme vybrané firmy ze skupiny přibližně 6000 subjektů, na které nově dopadne aktualizovaný zákon o kyberbezpečnosti. Z našich zjištění vyplývá, že velká část firem má právě zásadní nedostatky v oblasti dokumentace, navazujících procesů i personálního zajištění.“
Nedostatečná dokumentace a pokuty za nedbalost
Pod novou kyberbezpečnostní normu spadne zhruba 6 000 firem. Každá z nich musí splnit řadu povinností. K tomu potřebují bezpečnostní dokumentaci, která definuje například vnitřní procesy, politiky, analýzy rizik nebo role zaměstnanců. Problémem je, že dokumentace přirozeně stárne. „U jednoho klienta byla čtyři roky stará dokumentace použitelná z hlediska nové legislativy z pouhých cca 25 %,“ poukazuje na riziko Tomáš Hlavsa. „I v případech, kdy se stáří materiálů pohybuje nejvýše kolem dvou let, je přibližně 80% shoda. Přepracovat se musí terminologie, paragrafy, přibyly nové povinnosti.“
Chybí i personální zdroje
Firmy podle Tomáše Hlavsy, vedle shody dokumentace a návaznosti procesů, nebezpečně podceňují také oblast lidských zdrojů. Státu bystě měli také nahlásit personální obsazení klíčových rolí odborníky, včetně kontaktních údajů. Výběr lidí rozhodně nemá být jen formální. Zákon totiž zavádí také princip řádného hospodáře. Podobně jako v případě BOZP za nedostatky už neponese odpovědnost jen organizace, ale také konkrétní osoby. Statutárním orgánům, vedoucím IT, bezpečnostním manažerům nebo odpovědným pracovníkům budou hrozit jak vysoké peněžní sankce, tak trestněprávní postih.
Koho se regulace týká?
Zdroj: Portál NÚKIB
- Působí v regulovaném odvětví – jedná se o vybraná klíčová odvětví, jako je energetika, zdravotnictví, doprava nebo digitální služby atp. Seznam všech regulovaných odvětví je uveden ve vyhlášce o regulovaných službách.
- Poskytují regulovanou službu – tedy konkrétní službu uvedenou v příloze vyhlášky o regulovaných službách. Nestačí tedy jen působit v daném odvětví – důležité je, jakou službu organizace skutečně poskytuje.
- Jsou dostatečně významné – splňují tzv. podmínky významnosti poskytovatele regulované služby (zejména velikost podniku, případně další kritéria uvedená v příloze vyhlášky o regulovaných službách).
Ačkoliv k zákonu ještě nebylo schváleno několik prováděcích vyhlášek s podrobnostmi, celkový rámec je podle expertů jasný a není třeba otálet s přípravou. Ideálně do konce roku by si měla každá dotčená společnost udělat alespoň revizi bezpečnostní dokumentace. Firmy se tak vyhnou překvapení, kolik práce s implementací nové legislativy před sebou mají. Vzorem jim mohou být firmy z automobilového průmyslu či tradičně banky. Ty jsou v oblastech procesů a lidí na příchod NIS2 připraveny v podstatě již nyní.
„Začíná závod s časem. Kyberzákon od listopadu zahrne tisíce firem a organizací veřejné správy. Kdo se dosud spoléhal jen na antivir a firewall, měl by se co nejdříve podívat do šanonu s interní dokumentací. Právě tam totiž začíná skutečná kyberbezpečnost,“ uzavírá.
Zdroj: Redakčně upravená tisková zpráva společnosti Atos