FINANCE.czFINANCE.cz

Petr Kocmich (Soitron): Čekáním na finalizaci NIS2 ztrácíte drahocenný čas na implementaci

Autor: Soitron
Přestože transpozice směrnice NIS2 do českého práva zatím není hotová, odborník na kyberbezpečnost Petr Kocmich (Soitron) doporučuje neotálet. Firmy by měly zajistit potřebné rozpočty a kapacity či zvolit vhodného integrátora už nyní, pak už se na ně nemusí dostat.
4. 11. 2024
pr článek

Sdílet

Česko nestihlo transpozici směrnice NIS2. Jak vidíte současnou situaci s implementací této směrnice v kontextu omezeného počtu kvalifikovaných integrátorů a blížícího se termínu platnosti nařízení?

Aktuální stav je neuspokojivý, na druhou stranu Česko rozhodně není jedinou zemí, co transpozici nestihla.

Nicméně v tuto chvíli tedy stále transpozici směrnice NIS2 do národní legislativy nemáme, a tudíž ani finální podobu zákona o kybernetické bezpečnosti. Jednání o schválení se posouvá na další termín, který je stanoven na 17. listopadu 2024. Mnohé firmy se proto zdráhají podnikat konkrétní kroky a stále vyčkávají. Zbytečně.

Podstata NIS2 je jasná, poslední verze návrhu zákona je veřejně dostupná a předpokládáme, že jeho schválení přinese jen drobné změny, na které se dá ve finále jednoduše zareagovat. Největším a pochopitelným trnem v oku našich zákonodárců je stále část mechanismu bezpečnosti dodavatelského řetězce a na něj navázaných pravomocí NÚKIB. Jednou z možností jez nově navrhovaného kyberzákona vyjmout právo omezovat svobodu podnikání zákazem dodavatelů z konkrétních zemí (viz. kauza zákazu čínského Huawei a ZTE) a vložit tuto část do připravované legislativy o kritické infrastruktuře. Tato změna by zúžila okruh firem, kterých by se tato omezení mohla týkat a nově by tuto pravomoc mělo Ministerstvo vnitra namísto NÚKIB.

Co bude nový zákon o kybernetické bezpečnosti znamenat pro společnosti, které pod něj nově spadnou?

Pro společnosti, které již pod aktuální kybernetický zákon 181/2014 Sb. spadají a jsou již dnes součástí např. kritické informační infrastruktury nebo provozují významné informační systémy, se toho moc nezmění. Tyto společnosti již z převážné většiny splňují potřebné bezpečnostní standardy (nebo alespoň dobře ví, co plnit mají), takže jde spíše o rozšíření stávajících opatření.

Společnosti, které se nově po samoidentifikaci najdou v seznamu regulovaných služeb a zároveň budou splňovat definici dle velikosti společnosti a/nebo výše obratu společnosti, se zařadí do přísnějšího režimu. Jim bych doporučil následující kroky:

  • Identifikace a hodnocení aktiv.
  • Identifikace a hodnocení rizik.
  • Zpracování rozdílové (GAP) analýzy.
  • Plán nápravných opatření (komplexní bezpečnostní strategie).
  • Příprava rozpočtu (Cap/OpEx) na další rok/y.

Bezpečnostní strategie by měla obsahovat popis aktuálního stavu prostředí vč. nalezených rizik, na která pak navazují nápravná opatření mitigující tato rizika. Nápravná opatření by měla obsahovat časový harmonogram, klidně rozložen i do několika let. Ačkoliv bude ze zákona lhůta na splnění povinností od sebeidentifikace jeden rok, budou brána v potaz i plánovaná opatření, která ještě implementována nebyla. Ve strategii by měly být i finanční odhady na pořízení jednotlivých nápravných opatření tak, aby bylo možné sestavit a obhájit potřebný rozpočet na následující rok/y. Záměrně mluvím o víceleté aktivitě, protože kyberbezpečnost není sprint, ale spíše nekončící maraton. 

Z diskuzí se zákazníky zároveň usuzuji, že většina organizací spadající do přísnějšího režimu NIS2 již první kroky podnikla, a řeší tuto problematiku se svými dodavateli a partnery. Pokud ne, ztratily cenný čas na přípravu. Když se pustí do zavádění až po schválení zákona, riskují, že se nestihnou připravit včas, případně budou na trhu bojovat o kapacity odborníků. Firmy, které kybernetickou bezpečnost průběžně řeší, budou mít s přechodem jednodušší práci.

Kapacita kvalifikovaných integrátorů kybernetické bezpečnosti není nekonečná a může se rychle vyčerpat. Bohužel neexistuje univerzální „balíček” kybernetických opatření, který by stačilo jen „nasadit“ – každá firma potřebuje individuální přístup dle povahy byznysu, velikosti, existujících technologických řešení a procesů a samozřejmě finančních možností.

Může nějaké společnosti překvapit, že do NIS2 spadají, i když to tak na první pohled nevypadá?

Ano, to se klidně může stát. Mnoho organizací možná vnímá, že jejich hlavní činnost nespadá do regulace, ale mohou mít třeba dceřinou společnost nebo odštěpný závod, který do NIS2 naopak spadá. Může jít například o firmu, která vyrábí potraviny, ale některé z jejích produktů jsou registrovány jako léčivé, společnosti mající instalovaný větší výkon solárních panelů na svých provozovnách nebo společnosti nabízející svým zákazníkům jako doplňkovou službu dobíjení elektromobilů. Mnohdy se v rámci sebeidentifikace nejedná ani tak o selský rozum nebo o rozhodnutí plynoucí z IT oddělení, ale o legitimní práci pro právní oddělení.

Jak směrnice ovlivní zodpovědnost lidí odpovědných za kyberbezpečnost ve firmách?

Směrnice zavádí tzv. výbor pro řízení kybernetické bezpečnosti. Ten by měl být složen z osob pověřených celkovým řízením kybernetické bezpečnosti a zahrnovat role jako je manažer, architekt a auditor kybernetické bezpečnosti. Tito klíčoví lidé budou odpovědní za dodržování směrnice a v případě jejího porušení mohou čelit následkům. Při vážném zanedbání povinností může dojít až na jejich trestní stíhání.

Mnoho lidí přirovnává NIS2 ke GDPR, ale toto je jedna z věcí, která je opravdu od GDPR odlišná, a je to právě definování trestní odpovědnosti. Na jednu stranu to může dopomoci k řízenému zvyšování bezpečnosti napříč sektory, na druhou stranu to může mít negativní dopad na nábor konkrétních trestně zodpovědných pracovních rolí.

Co byste doporučil firmám, které se dosud nezačaly připravovat na NIS2?

Mým jednoznačným doporučením je jednat bez odkladu a začít se připravovat, i přestože není finální podoba zákona hotová. Po prvním kroku v podobě analýzy a plánování rozpočtu a kapacit je nutné podívat se na nápravná opatření. Začněte s opatřeními ošetřujícími rizika vysoká s ideálně co nejmenší finanční investicí, což pomůže k rychlejší obhajobě rozpočtu. Všechna opatření lze navíc naplánovat tak, aby firma případně mohla financovat zavádění kybernetické bezpečnosti postupně v několika následujících letech. 

I takovýto plán bude NÚKIB akceptovat. Veledůležitá je podpora vedení v rámci alokace zdrojů. V neposlední řadě je nutné v rozpočtu počítat i s požadovanými rolemi manažera, architekta a auditora kyberbezpečnosti (ať už formou interních nebo externích kapacit). Jednejte, dokud máte možnost volby a využijte NIS2/ZoKB ke zvýšení zabezpečení vaší společnosti, a ne k odškrtnutí fajfky v Excelu.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).