Drtivá většina českých firem netuší, zda se na ně bude vztahovat zpřísnění kyberbezpečnostních opatření podle evropské směrnice NIS 2, která se promítne do českého zákona o kybernetické bezpečnosti v druhé polovině příštího roku, či nikoli. Z průzkumu, který pro českou bezpečnostní společnost APPSEC realizovala agentura Ipsos, vyplývá, že 80 % zaměstnanců IT oddělení tuzemských firem buď netuší, zda se konkrétně jejich společnosti NIS 2 bude týkat, nebo vůbec nevědí, co to NIS 2 je. Průzkumu se od 27. do 31. července 2023 zúčastnilo 1050 respondentů ve věku 18 až 65 let.
„Výsledky průzkumu nás vůbec nepřekvapují. Informovanost českých firem o NIS 2 je tristní. Vzhledem k tomu, že nesplnění podmínek této směrnice může v případě úspěšného kybernetického útoku představovat vážný problém a napadená organizace musí počítat s vysokou pokutou, mají české firmy nejvyšší čas se touto záležitostí zabývat,“ říká Adam Paclt, generální ředitel společnosti APPSEC, jež se zabývá penetračními testy firemních systémů a dodává bezpečnostní řešení třetích stran, jako je například SentinelOne. Evropská směrnice míří na organizace a firmy, které poskytují služby důležité pro fungování společnosti a zároveň mají nejméně 50 zaměstnanců nebo dosahují ročního obratu alespoň 10 milionů euro (přibližně 240 milionů korun).
Přísnější bezpečnostní norma začne platit už v červnu 2024
Evropská směrnice ale klade vyšší nároky na zabezpečení interních systémů, také na celý dodavatelský řetězec organizací, jichž se NIS 2 týká, takže dopad bude mít i na řadu menších firem. Toho si ale jejich představitelé často nejsou vědomi. V průzkumu připustilo pouze šest procent respondentů, že se NIS 2 přímo dotkne jejich společnosti. Dalších pět procent tvrdí, že se jich dotkla již předchozí bezpečnostní směrnice, a tak mají z hlediska kybernetického zabezpečení splněno. Téměř devět procent zaměstnanců IT oddělení českých firem si je jisto, že se jich NIS 2 nedotkne, ovšem více než třetina (36 %) přiznává, že neví, a takřka čtvrtina (23 %) si není jistá.
Více než pětina respondentů průzkumu (21 %) dokonce přiznala, že vůbec neví, co to NIS 2 je. Nová bezpečnostní norma přitom vstoupí v platnost za necelý rok a zavádí například povinnost hlášení kybernetických incidentů do 24 hodin od jejich odhalení. Na dodržování směrnice bude dohlížet Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) a nesplnění bezpečnostních opatření může vést k vysokým pokutám, které mohou být u některých subjektů až likvidační.
Penetrační testy odhalí bezpečnostní slabiny firem
Z hlediska jednotlivých regionů České republiky nejčastěji netuší, zda se jich NIS 2 bude týkat, zaměstnanci IT oddělení firem v Královéhradeckém (46 %), Moravskoslezském (43 %) a Ústeckém kraji (41 %). Naopak, největší znalost, co to je NIS 2, pak vykázali respondenti z Prahy (27 %) a Pardubického kraje (26 %). Informovanost o důsledcích evropské směrnice NIS 2 na firmu, v níž daný IT expert pracuje, rostla se vzděláním. Nejnižší byla u respondentů se základním vzděláním (52 % nevědělo, zda se NIS 2 dotkne jejich firmy), nejvyšší naopak u vysokoškoláků (nevědělo 30 % respondentů).
„Pro organizace a firmy je důležité, aby prověřily odolnost svých systémů proti kybernetickým útokům a na základě těchto testů zvolily odpovídající bezpečností řešení. Ideální prověrkou jsou penetrační testy za plného provozu, které odhalí všechny potenciální bezpečnostní slabiny. Zjednodušeně řečeno jde o hackerský útok, který je řízený a simuluje chování skutečného útočníka,“ popisuje Paclt. Společnost APPSEC poskytuje unikátní penetrační testy pomocí algoritmů, které dokážou zmapovat veškeré bezpečnostní díry. „Testovaná organizace pak při investici do informační bezpečnosti tak může zacílit na to nejdůležitější,“ říká Paclt.
NIS 2 není žádná legrace!
Směrnice NIS2 má sloužit k lepšímu zabezpečení evropského kybernetického prostoru. Než se z ní ale stane český zákon, musí ještě projít standardním procesem. Jednou z hlavních výtek k současnému znění se týká takzvaného řízení dodavatelů – směrnice tu totiž v režimu „essential“ pamatuje i na kontrolu subdodavatelů, přičemž tyto požadavky nebudou chápány jako omezení hospodářské soutěže.
Proti tomu se ale ohradila například Hospodářská komora, která návrh zákona v současné podobě považuje za nepromyšlený, co se týče jeho realizovatelnosti a dopadů. Navrhuje, aby se navrhovaná omezení týkala pouze těch nejkritičtějších úseků infrastruktury. Národní úřad pro kybernetickou bezpečnost (NÚKIB) by tak nemohl zakázat zařízení od určitých dodavatelů kdekoliv. Součástí směrnice je i řada dalších nařízení – subjekty budou mít například za povinnost útoky jednotně a automatizovaně hlásit přes portál NÚKIBu, který má pro tento účel vzniknout.
Není čas ztrácet čas, firmy by měly zpozornět
Pokud vše půjde podle plánu, měl by nový zákon začít platit ve druhém kvartálu příštího roku. Pro české firmy to bude nutně znamenat zavádění řady změn, mnoho z nich ale už teď funguje na podobných principech, které bude zákon nařizovat. „NIS2 v podstatě formou zákona ukotví to, co by mělo být v rámci kyberbezpečnosti normální už v této chvílí,“ říká Adam Koudela, expert na kyberbezpečnost ostravské společnosti XEVOS.
Ty společnosti, které dosud standardy na úrovni NIS2 zavedené nemají, čeká relativně hodně práce – a čas se začíná krátit. Z dřívějšího průzkumu XEVOSu ale vyplynulo, že 93 % firem předem nepodniká žádné kroky a čeká až na finální znění zákona. Povinnosti z něj vyplývající s sebou ale pochopitelně nesou také represe, neznalost a zanedbání jejich implementace se tak firmám může výrazně prodražit.
Při závažném podezření zákon umožní NÚKIBu namátkové kontroly, klíčové bude mít v pořádku dokumentaci a její implementaci do praxe. Sankce za nedodržení, jak už bylo uvedeno výše, budou relativně přísné, bude to například stopnutí certifikace nutné pro danou službu, nebo časově omezený zákaz vykonávání této služby konkrétnímu zaměstnanci. „Do tuhého půjde, co se týče pokut. V režimu essential a important budou sazby odlišné, v obou případech ale mohou firmy citelně zasáhnout. V nejhorších případech mohou dosáhnout až na 240 milionů korun,“ konkretizuje výši pokut Koudela.
