NIS2 - zkratka, kterou poslední dobou zaregistroval téměř každý a v následujících měsících ji budeme zcela jistě vídat častěji. Měla by vás tato Evropská směrnice zajímat? Na to a další se Lenka Nováková zeptala specialisty z oblasti kybernetické bezpečnosti firmy Blue Partners pana Tomáše Veselého, který napsal na téma „NIS2 jednoduše“ ebook a nabízí i možnost konzultace zdarma.
Jak vlastně vnímáte tuto novou evropskou směrnici?
Pozitivně. Spousta firem má dnes velmi zkreslené představy o tom, jak jsou chráněny a jak rychle jsou schopny incidenty řešit. Realita je pak ale často studená sprcha, což ukazují i mnohé průzkumy. A i přesto mnoho firem nevěnuje této problematice dostatečnou pozornost. Takže jakákoli legislativa, která přiměje firmy zamyslet se a aplikovat opatření v oblasti kybernetické bezpečnosti, by měla být vnímána pozitivně. Vždyť se mnohdy jedná o data „nás všech“ nebo „o nás všech“ – to říkám trochu na odlehčení, ale žijeme v době digitalizace a ono to tak v podstatě je.
Říká se, že NIS2 bude muset v ČR nově řešit 5 až 8 tisíc firem? To je hodně, nemyslíte?
Ano i ne. Obecně se nejedná o nic jiného než o řízení rizik v kybernetické bezpečnosti a nastavení hlavních procesů, které by tyto firmy měly mít již dávno zavedené. Takže by se dalo říci, čím více - tím lépe. Samozřejmě s ohledem na velikost dané firmy a význam zpracovávaných dat.
Bohužel se totiž často setkáváme s nedostatky i v základních bodech kyberbezpečnosti, jako je zálohování, školení zaměstnanců nebo definice důležitých dat a jejich ochrany.
Měly by se firmy směrnice NIS2 a novely Zákona o kybernetické bezpečnosti obávat?
Určitě ne. Naopak. Podle mého názoru by směrnice NIS2 měla zajímat i firmy, které pod ni přímo spadat nebudou. Směrnice a dále novelizovaný Zákon o kybernetické bezpečnosti, který bude aplikací směrnice NIS2 do české legislativy, může spoustě firem posloužit i jako šablona pro pokrytí základních oblastí kybernetické bezpečnosti. NÚKIB (Národní úřad pro kybernetickou bezpečnost) v tomto zákoně poměrně přesně specifikuje, co byste měli zajišťovat. Novelizace by měla začít platit nejpozději od 16. 10. 2024
A jak firma jednoduše zjistí, zda spadá pod NIS2?
Tak například můžete využít naši pomůcku. Vytvořili jsme veřejnou stránku, kde jednoduše zjistíte, zdali vaše společnost spadá pod NIS2. Stránka čerpá z veřejných registrů na základě vámi vloženého IČa společnosti a případně se doptá na některé doplňující otázky. Samozřejmě odpověď nemůže být 100 %, ale pokud vám vyjde, že pod NIS2 spadáte, budete tam téměř jistě spadat.
NIS2 se na vás bude vztahovat pokud:
- spadáte do sektorů, které jsou vyjmenované
a zároveň
- má firma více než 50 zaměstnanců nebo obrat 10 mil. euro.
Velké množství firem ale nespadne pod NIS2 přímo. Budou muset vyhovět požadavkům v rámci tzv. dodavatelského řetězce. Zjednodušeně to znamená, že pokud jsem dodavatelem podniku, na který se vztahuje NIS2 a pokud mu poskytuji důležité služby týkající se oblastí vyjmenovaných v NIS2, pak se NIS2 vztahuje i na mě.
Tak například můžete využít naši pomůcku. Vytvořili jsme veřejnou stránku, kde jednoduše zjistíte, jestli spadáte pod NIS2.
Jak rychle zjistit zda spadám pod NIS2
Můžete nám prozradit, jak probíhá typická příprava na NIS2 u vašich zákazníků?
Na základě našich zkušeností doporučujeme udělat si kompletní přehled o stavu IT ve firmě v kontextu požadavků NIS2. Tato důkladná analýza zajistí, že opatření budou provedena na základě reálných potřeb společnosti. Jsou prověřovány stávající procesy řízení IT, bezpečnost infrastruktury, celková funkčnost IT systémů a je vytvořen návrh realizace doporučených opatření.
Tímto způsobem minimalizujeme riziko nasazení neefektivních opatření a zároveň dosahujeme realistického odhadu náročnosti následujících kroků.
Takovou analýzu si mohou firmy snadno udělat samy, nemyslíte?
Jestli chcete zjistit, jak na tom skutečně jste, je doporučení nezávislého externího posouzení zcela na místě. Jednoznačně doporučuji využít externí firmu, která se věnuje komplexní kyberbezpečnosti a reálně ohodnotí individuální rizika, ale která nebude mít zájem vám prodat vlastní technologie a jejich implementaci, v tom vidím tu nezávislost.
Když zde mluvíme o analýze tak, jak ji vnímám já, nejedná se o pouhý checklist, kde se jen zaškrtne – splňuji x nesplňuji – a mám hotovo. Analýza musí především prověřit, zda naplnění požadavků a realizovaná opatření jsou skutečně funkční a slouží požadovanému účelu, ať už se jedná o technické zajištění či požadovanou dokumentaci.
Ale mohu důvěřovat někomu zvenku, když jde o kyberbezpečnost?
Bezpečnost je vždy o důvěře. Firmy by si měly uvědomit, že nehledají jen dodavatele analýzy, ale hledají partnera. Partnera, který je bude provázet a dohlížet nad touto problematikou. Tato důvěra je nejzásadnější právě v rámci analýzy, kdy je nezbytné věci pojmenovat tak, jak jsou, a nesnažit se nic maskovat. Jedině tak lze správně vyhodnotit situaci a připravit opatření, aby opravdu chránily to nejcennější = data ve firmě.
Kolik taková opatření budou firmy přibližně stát a kdy s nimi začít?
Začít určitě co nejdříve. Respektive, co nejdříve prověřit, jaká opatření budou muset jednotlivé firmy realizovat a v jakém rozsahu, protože jen tak lze zjistit jejich náklady. Obecně lze říci, že důkladná analýza s návrhy opatření trvá 1-3 měsíce, dle velikosti. Doba realizace opatření se pak typicky pohybuje v rozsahu 3–12 měsíců. Vlastně možná už tolik času nezbývá.
Náklady opatření pak závisejí především na aktuálním stavu zabezpečení. Ze zkušeností víme, že náklady na opatření se budou pohybovat v řádu stovek tisíc až jednotek milionů (samozřejmě nemluvíme o extrémech).
Je nutné si uvědomit, že vybraná rizika bude vždy nutné minimalizovat, jiná je možné akceptovat a některá lze eliminovat jinými vhodnými prostředky, např. pojištěním. Je však nezbytné znát všechna rizika a pracovat s nimi.
Jistě můžete namítnout, že řada podniků nemusí mít hned k dispozici prostředky na realizaci všech opatření. Takže bych apeloval na firmy, aby zjištění stavu neodkládaly, realizovaly důkladnou analýzu a nejlépe s vhodným partnerem.
Rada na závěr?
Zjistěte si, jak na tom jste. A to ať už se vás NIS2 týká, či nikoliv. Vhodná opatření je dobré aplikovat vždy. A požadavky NIS2 by šlo vnímat i určitě jako určitě best practices v oblasti kybernetické bezpečnosti a jako vodítko pro každou firmu, které záleží na jejích datech.
Nakonec bych rád všem čtenářům nabídl konzultaci na téma NIS2 nebo bezpečnosti od naší společnosti v délce 30 minut zdarma.
