V roce 2025 projde IT prostředí českých firem proměnou, jaká tady dlouho nebyla. Do jejich chodu zasáhne hned dvojice nových zákonů. Prvním je dlouho očekávaná implementace evropské normy NIS2, druhým pak od ledna platná novela Zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti. Nová legislativa přinese řadu změn a dodatečných povinností týkajících se kybernetické bezpečnosti. Ovlivní nejen vnitřní procesy a politiky firem, ale také spolupráci s partnery, dodavateli a zákazníky. Podle expertů společnosti Eviden je však přístup státu ke kyberbezpečnosti logický a správný.
„Utahování šroubů pro podnikatelské prostředí? Takto bych to rozhodně nevnímal. Naopak oceňuji, že se stát otázkami kyberbezpečnosti zabývá dlouhodobě, systematicky a hlavně transparentně. Firmy tak ví, co se chystá a mohou se připravit. A kdo je připraven, není překvapen,“ říká Tomáš Hlavsa, bezpečnostní ředitel společnosti Eviden. Podle něj tím stát vysílá jasný signál, že bezpečnost bere vážně a chce, aby ji brali vážně také další aktéři.
NIS2: Velké téma (nejen) pro malé firmy
Hojně diskutovaná směrnice NIS2 sjednocuje ochranu kyberbezpečnosti státních orgánů napříč zeměmi EU. „Z pohledu českých firem je klíčové ono slovo sjednocuje. Zákony, které řeší kybernetickou bezpečnost státu, máme takřka 10 let. Díky tomu jsme připraveni na zhruba 90 % věcí, které přinese NIS2,“ vysvětluje Tomáš Hlavsa.
Nejvýraznější novinkou pro české firmy je zapojení dodavatelského řetězce. Organizace tak musí nově dohlížet na dodržování nových opatření i u svých subdodavatelů. Jinými slovy: zajistit, že i oni splňují požadavky kybernetického zákona. „V debatě kolem NIS2 se nejčastěji hovoří o velkých organizacích – ať státních, nebo soukromých. Přitom malé firmy tato norma ovlivní ještě více,“ připomíná Tomáš Hlavsa. Menší dodavatele čekají především změny v procesních oblastech.
Především kvůli hrozbě likvidačních pokut to pro některé z nich bude impulz k přesměrování obchodní strategie od státní do soukromé sféry. Pro jiné to naopak bude výzva. Podle Tomáše Hlavsy to ovšem není nic, co by nešlo zvládnout. Opírá se přitom o zkušenosti s vlastními subdodavateli. „Máme osvědčené postupy, jak subdodavatelům pomoci s plněním požadavků NIS2. Sdílíme s nimi nejen dokumentaci, ale také know-how. Tím, že pomáháme jim, pomáháme také sobě. Je to ukázkový příklad win-win přístupu,“ vysvětluje.
ZOOUI: Místo vrátného bude ředitel s prověrkou
Druhým legislativním tématem tohoto roku pro české IT je od ledna platná aktualizace zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti. Na rozdíl od NIS2 se dotýká menšího počtu firem, o to zásadnější jsou však změny, které jim přináší. A nejen jim, ale také jejich majitelům, jednatelům nebo představenstvům. Nově totiž vyžaduje prověrku po členech statutárního orgánu.
„Zatímco doteď mohl zastávat funkci bezpečnostního ředitele s trochou nadsázky třeba vrátný, nově ji musí mít někdo ze statutárního orgánu,“ upozorňuje Tomáš Hlavsa. Stát tak bude mít jistotu, že ochrana utajovaných informací se stane nedílnou součástí managementu firmy, respektive jejího chodu. Stejně jako v případě NIS2, také splnění požadavků tohoto zákona může být snadno zvládnutelné. Hlavní je spolehnout se na partnera, který umí víc než jen pomáhat vyplnit formuláře. „Našim klientům pomáháme nejen s administrativní stránkou, ale přidáváme navíc know-how. Předáváme jim tipy, čemu se vyhnout, varování, na co si dát pozor, zkrátka zkušenosti z praxe,“ uzavírá Tomáš Hlavsa.
ČLÁNKY DO MAILU