Názory k článku
Zákon o kyberbezpečnosti nás vyjde minimálně na 2,5 miliardy, říká ČEZ a mluví o zdražování

Jistě. Jakýkoliv důvod ke zdražování dobrý...

Tak pokud vam stat ulozi nove povinnosti, tak to neprekvapive neco stat bude. A jak uz to tak ve svete chodi, podniky naklady s tim spojene logicky bezne prenasi na sve zakazniky. Jestli jste si nevsimnul, tak i v zakone mate psano, ze smyslem podnikani je tvorba a maximalizace zisku, nikoliv jeho snizovani ;-)

Tak zrovna u podniku typu ČEZ by kybernetická bezpečnost a tudíž i náklady na ní měli v dnešní době být na vysoké úrovni. A to i bez téhle regulace. Je to jako by si stavební firma stěžovala že musí při stavbě dálnice instalovat svodidla a že to tu dálnici prodraží. Ano prodraží, ale asi se všichni shodneme že to i tak dává smysl.
Takže to že do toho teď investují tak málo oproti tomuhle novému standardu jenom ukazuje, jak jsou na tom v tomhle směru na štíru a je jenom dobře že se to řeší, dokud ještě není úplně pozdě.

Ale ty svodidla se na vysledne cene dalnice podili, ze? Rozhodne vam je tam stavebni firma nemontuje zdarma pro vas dobry pocit :-) No, tak se nedivte, ze CEZ promitne naklady do svych cen. Kazda sranda neco stoji.

Ono to není tak jednoduché první problém je v tom, že ačkoliv je současným ZoKB regulován, tak se to netýká všeho. ČEZ je kolos složený z mnoha firem, některé jsou malé, některé větší, ale současný zákon reguloval pouze menší část z nich. Rozšíření i na další firmy může znamenat určité náklady, např. napojení většího množství systémů na dohledové systémy a s tím i větší počet lidí co budou ty systémy, jak napojovat a licence, tak lidi na sledování. NIS2 skoro až nesmyslně rozšířila působnost zákona, a navíc zavedla stejný metr napříč skupinou (což dává smysl). Takže určitý vliv to může mít a určité náklady navíc to určitě znamená. Což jsou pádné argumenty pro jakéhokoliv vedoucího bezpečnosti (CISO).

K tomu je potřeba dodat, že jakýkoliv CISO jakmile slyší o regulaci, prvním s čím začne je velmi hrubý odhad nákladů, ten vynásobí vlastní cimrmanovu konstantou, která je vyšší jak 1... a s tím jde na vedení, protože vždy chce vyšší rozpočet, více lidí apod. vedení mu vždy dá za úkol ty náklady snížit... jak se také stalo... je to takový kolorit, se kterým všichni účastníci počítají, proto se tu bude mluvit o tak vysokých částkách, které se zázračně podaří stlačit na polovinu nebo dokonce třetinu.

Co se týká dopadu na ceny pro spotřebitele, tak zde je potřeba uvažovat o tom, že bezpečnost opravdu cenu energie netvoří! Tvoří ji trh a není tedy důležité kolik milionů si řekne CISO v ČEZu. Na druhou stranu, pokud si všichni CISO v energetických společnostech řeknou o určité procento navýšení nákladů (jako že řeknou), povede to nepochybně o určité nízké procentíčko navýšení i pro klienty, takže ano můžeme to pocítit na vlastí peněženky na druhou stranu promítne se to ve spolehlivosti služby, na které jsme čím dál více závislí.

od toho se tomu říká odhad nákladů.

Hodně velkou položku z mých zkušenosti stojí integrace legacy systémů (či jejich nucený upgrade) na dohledová centra a nastavení a zajištění bezpečnostních pravidel pro přístup k těm systémům.

Nákladovou položku může promítnout do poplatku za distribuci.

Pokud má ČEZ ISO 27001, a to má, tak postavit NIS2 by mělo být jednoduché. A nemyslím si, že 2.5 mld je reálné číslo. Někdo si cucal palec tak dlouho, až vycucal tuto částku, která se obratně promění v marketing mantru o zdražování.

28. 3. 2024, 15:45 editováno autorem komentáře

zásadní problém NIS2 je, že zasahuje daleko více systémů, dceřiných firem a odštěpných závodů než samotné ČEZ ISO 27001, které se teď dělá pouze pro některé části.

NIS2 také vyžaduje daleko více lidí a samostatných rolí, dnes se řada činností sdružuje pod jednoho pracovníka, nově to není možné vše sdílet.

Těžko si ČEZ jako akciová společnost může dovolit si z prstu tyhle čísla cucat, takhle to prostě nefunguje.

2.5 miliardy za zlepšení bezpečnosti? Tohle se mě moc nezdá, spíše to vypadá, že na to kašlali a teď to musí vyřešit. Pokud budu předpokládát, že všechny společnosti v rámci skupiny ČEZ by měli mít ISO 27001 tak NIS2 by mělo pouze rozšiřovat ISO a něco málo přidat, resp. blíže specifikovat.

Taky mě zarazilo, že by se musela udělat změna v obchodních rejstřících což by mohlo značit, že se v rámci skupiny přelévají peníze z důvodu daňových optimalizací.

Bude to zajímavé sledovat, jak se s tím ČEZ popere.

Pochybuji, že by na něco kašlali, už dnes patří ke kritické infrastruktuře, ale evidentně to provozují na technologiích, které chce NÚKIB zakázat a byly v minulosti vysoutěženy ve VŘ s kritériem nejnižší ceny, což čínské značky umí... Ta částka nejspíš zahrnuje výměnu všech čínských technologií, které ČEZ používá v rámci celé skupiny i u mnoha akvírovaných ISP v rámci Čeznetu a které by se musely měnit v rámci očekávaného zákazu Huawei v rámci institutu dodavatelského řetězce, který splní i jako výrobce elekřiny, tak jako poskytovatel ICT služeb.

Nevim co tech 75 bezpecaku v CEZu dela, ale pred nejakou dobou jsem jim tisknul na tiskarnach dostupnych zvenku vzkaz at si zlepsi bezpecnost… tech 2,5mld muze byt klidne optimisticke cislo vzhledem k bordelu jaky v CEZu je.

ČEZ už teď patří pod kritickou infrastrukturu a musí dodržovat v podstatě obdobné podmínky. V kterémpak ČEZu jsi to tisknul, pod ně spadá desítky společností. Těžko to bylo v sídle ČEZ a. s. nebo třeba v ČEZ distribuce a. s., tam je vnitřní infrastrukturu striktně oddělena.

Těch 75 o kterých mluví jsou spíše administratitvní pracovníci, většina jejich agendy je papírování, směrnice, reporting.

Je to jiz nejaka doba, detaily si nepamatuji. Ze nekdo neco musi neznamena ze to dela.

Takze detaily si nepamatujete - ale pritom mate jasno, kde to bylo :-) To se taky mohlo stat, ze se to vlastne vubec nestalo a cele jste si to vymyslel... a nebo se to stalo pred tolika lety, ze ta vase "pravda" uz davno nemusi odpovidat dnesni realite.

Jestli je to pravda ze jsou na tom tak spatne tak nejdriv vyhodit riditele.

A z ceho dovozujete, ze na tom jsou spatne? O tom, ze nase transpozice NIS2 zavadi nove povinnosti a ten zaber zakona slepeneho v Brne je sirsi nez pozadavky evropske smernice se hovori mesice. A uz u prvnich debat na toto bylo zrejme, ze samotn urad se analyzou ekonomickych dopadu na povinne subjekty poradne nezabyval.

2,5 mld. za 5 let = 500 mil. Kč ročně. V roce 2023 měl čistý zisk 30 mld., za rok 2024 předpokládá 25 až 30 mld. Tedy opravdu pádný důvod pro zdražení, že.

Ano, prekvapive zajmem akcionaru (stat nevyjimaje) neni snizovani zisku... a tedy vyplacenych dividend, ze? :-) Bavime se o desitkach miliard, ktere mj. nasledne plynou do statniho rozpoctu... a ktere muzou chybet.

Představ si, že kdyby to nebyl praktický státní podnik, tak se na to taky může vykašlat a jít do zahraničí.

Jestli jinde tyhle věci nejsou a podnikání v Evropě je složité, tak si to všichni nechají aspoň zaplatit.

Někdo by vám měl vypnout internet, to by se ušetřilo!

Celé NIS2 je nesmyslně koncipované bez rozlišení účelu daného systému/agendy. Takže pokud firma "spadá" pak musí zabezpečovat jako kardiostimulátor i evidenci výdeje firemních triček.

NIS2 to ale řeší, nový ZoKB již explicitně nikoliv a jeho zásah je proto velký.

Např. NIS2 odst. 16)
Má-li se zabránit tomu, aby subjekty, které mají partnerské podniky nebo které jsou přidruženými podniky, byly považovány za základní nebo důležité subjekty, kde by to bylo nepřiměřené, mohou členské státy při uplatňování čl. 6 odst. 2 přílohy doporučení 2003/361/ES zohlednit míru nezávislosti, v níž se subjekt ve vztahu ke svým partnerským nebo přidruženým podnikům nachází

A nový ZoKB to zohlednil takhle, § 13 odst. 2)
Organizační části a aktiva určená podle odstavce 1 písm. b) a c) tvoří rozsah řízení kybernetické bezpečnosti (dále jen „stanovený rozsah“).

Což je věc, která v současném ZoKB chybí a vyhodnocují se pouze aktiva (primární + podpůrná, což je kritická cesta pro regulované služby). Pro skupinu ČEZ jsou pak organizační části nejspíš právě všechny dcery, z toho pak vznikají tak vysoké náklady.