Nová závazná evropská norma NIS2 má vynutit zabezpečení v oblasti kyberbezpečnosti a přijetí standardů, které musejí firmy a organizace navázané na kritickou infrastrukturu přijmout proti hrozbě útoků zvenčí, živelním katastrofám, nehodám nebo lidskému selhání. Týká se bezprostředně tisíců firem v Česku a byla již vloni schválena evropským parlamentem. Náklady na zabezpečení a splnění požadavků nesou samy firmy.
Počet kyberútoků stále roste
V posledních letech se počet, intenzita a sofistikovanost kybernetických útoků nejen na kritickou infrastrukturu zvýšily a vedou nejen k výpadkům služeb, ale především k ohrožení plynulosti poskytovaných služeb, což může mít v případech cílení na strategickou infrastrukturu fatální následky. Kyberútoky přitom necílí jen na nemocnice nebo klíčové státní instituce. Soukromé subjekty, kde dosud bylo možné úroveň zabezpečení kontrolovat jen obtížně, by mohly být slabým článkem řetězu.
„Nová pravidla se budou týkat nejen kritické infrastruktury, ale také středních a větších podniků v 18 odvětvích. Ještě se o tom moc nemluví, ale NIS2 bude platit do roka a půl. Má hackerům znemožnit nebo alespoň co nejvíc znesnadnit život, když si usmyslí ochromit naši ekonomiku a infrastrukturu. A to jde třeba i přerušením dodavatelských řetězců. Jako nic v životě, ani tohle nebude zadarmo,“ říká odborník na kyberbezpečnost Adam Koudela ze společnosti Xevos s tím, že se jedná o firmy střední a velké velikosti. „Firmy a instituce se dělí podle role a důležitosti v novém systému na dvě skupiny podle oboru podnikání, ale také obratu či počtu zaměstnanců. Obecně jde o subjekty zásadního významu a subjekty takzvaně důležité. A dává to smysl – útok na nechráněné firmy má velký potenciál ochromit společnost. Dohromady se jedná o tisíce firem.“
Zavedení nových norem a celého systému certifikace má v Česku na starosti NÚKIB a hodlá do české legislativy zahrnout specifické úpravy pro naše prostředí.
„Změny, které směrnice NIS2 přináší, jsou natolik zásadní, že NÚKIB k tomuto úkolu přistoupil přípravou zcela nového zákona o kybernetické bezpečnosti a jeho vyhlášek, který předkládá veřejnosti k připomínkám a diskuzi. Lze očekávat, že se návrhy předpisů budou měnit, ať již na základě připomínek veřejnosti, tak v rámci standardního legislativního procesu – aktuálně ve formě rozpracovaných tezí,“ uvedl Národní úřad pro kybernetickou a internetovou bezpečnost.
Mezi dotčené společnosti a odvětví kritické infrastruktury nespadá jenom očekávané zdravotnictví nebo energetika, ale také poskytovatelé služeb jako je internetové vyhledávání, elektronické komunikace, výroba elektroniky, výroba zdravotnických prostředků, registry internetových domén, doprava, bankovnictví, poštovní a kurýrní služby, a další.
Na finální podobu si musíme počkat, sankce známe už teď
Příprava legislativy vyvrcholí v tomto roce a do října 2024 musí být zákon přijat Poslaneckou Sněmovnou. Od té doby začnou platit sankce za nedodržování normy NIS2, v nejhorších případech až do astronomické výše deseti milionů korun a ztrátou oprávnění k činnosti.
„Nemyslím si, že by se většina z firem, kterých se to týká, měla nějak zásadněji obávat,“ uvádí Adam Koudela. „Jisté změny v zázemí firem a přístupu ke kyberbezpečnosti to přinese, drtivou většinu dopadů však ponesou firmy a organizace strategické infrastruktury. Hlavně jde o preventivní opatření proti kyberútokům, jejichž počet a závažnost v poslední době roste. Pro ty menší hráče to bude znamenat zajištění třeba dvoufaktorového přihlašování do systémů, periodická školení a vzdělávání zaměstnanců, zálohování dat, pokročilého šifrování a zásad krizového managementu.“
Podle něj je nejdůležitější informovanost a konečné nastavení normy v českém prostředí. „Stát se bude muset postarat o to, že vznikne síť certifikátorů, kteří budou dodržování zákona kontrolovat, ověřovat, vydávat a odebírat certifikace. Už teď máme zákon o kybernetické bezpečnosti, takže jsme jako Česká republika trochu napřed. Kdo nechce čekat na zákon, který projde do října příštího roku, může se už teď obrátit na firmy poskytující služby auditu kyberbezpečnosti,“ upřesňuje Koudela z IT společnosti XEVOS.
Větší míře kyberbezpečnosti firem stála dosud v cestě spousta faktorů. Jak řekl na základě výsledků průzkumu Patrick Müller ze společnosti Sophos pro server Computer World, tak „… stále sofistikovanější útoky kyberzločinců znamenají, že bezpečnostní týmy potřebují lepší nástroje a více dovedností, což zvyšuje náklady na ochranu IT prostředí.“
Na konkrétní celkové náklady pro české firmy pro zavedení NIS2 si budeme muset ještě chvíli počkat. Již teď je však jasné, že půjde v souhrnu o miliardy korun.
Firmy se připravují, drtivá většina jich ale zatím tápe
Z průzkumu společnosti Xevos, která dodává firmám řešení v oblasti kyberbezpečnosti a šifrování, vyplývá, že firmy o NIS 2 vědí, přípravu na ni ale zatím většinou podceňují.
„Z naší pozice dodavatele IT řešení pro zákazníky se o to zajímáme,“ řekl Jan Kožušník z firmy Inove, která tvoří jednu z výjimek a plnění podmínek budoucích norem je pro ně standard. „Vyvíjíme aplikaci pro HR, kde je zabezpečení důležité. Obecně si v tomto směru hlídáme trendy, abychom měli otázky bezpečnosti podchycené ze všech možných stran a zajistili maximální bezpečnost. NIS2 se bude se týkat nejen nás, ale i určité skupiny našich zákazníků, takže téma v každém případě sledujeme. Ale tato pravidla obecně u nás už teď dodržujeme, protože to vnímáme jako bezpečnostní standard.“
V průzkumu Xevos mezi firmami, kterých se nová pravidla a jejich zavádění budou týkat, ovšem drtivá většina firem odpověděla, že žádné kroky zatím nepodniká a nemá přehled o přibližné výši nákladů na zavádění normy.
