Nejen základní kyberbezpečnost velkých a důležitých firem a veřejných institucí, ale také bezpečnost dodavatelských řetězců u těch strategicky nejdůležitějších je předmětem návrhu nového zákona o kybernetické bezpečnosti. Na konferenci CyberCon 2024, kterou minulý týden pořádal na Výstavišti Brno, o tom informoval Národní úřad pro kybernetickou a internetovou bezpečnost (NÚKIB). Partnerem akce byla bezpečnostní společnost APPSEC zabývající se penetračními testy a pokročilými formami kybernetické ochrany.
„CyberCon je ukázkou akce, jakých by se mělo v České republice konat víc. Během tří dnů dokázal shrnout aktuální kybernetické hrozby, trendy v bezpečnosti i připravované legislativní změny a jejich dopad na veřejné instituce i soukromé společnosti,“ konstatuje Adam Paclt, generální ředitel společnosti APPSEC, která na CyberConu představovala inteligentní nástroj kybernetické ochrany SentinelOne. Z dřívějšího průzkumu, který si nechal APPSEC zpracovat agenturou Ipsos, vyplynulo, že tři čtvrtiny IT manažerů firem vůbec netuší, zda se jich zpřísněný zákon o kybernetické ochraně, do něhož stát implementuje i evropskou bezpečnostní směrnici NIS2, bude týkat nebo co to vlastně NIS2 je.
Firmy si musejí uvědomit, že kyberbezpečnost je nekončící proces
„Nový zákon navazuje na zákon stávající a zároveň přináší určitý posun. Tento posun reaguje na zhoršující se bezpečnostní situaci ve světě a také na požadavky evropské legislativy, tedy na směrnici NIS2, a stále větší závislost společnosti na digitálních technologiích,“ říká Martin Švéda, vedoucí oddělení regulace soukromého sektoru v NÚKIB. Podle jeho slov si české firmy nárůst počtu bezpečnostních incidentů uvědomují a mnohé na požadavek lepšího zabezpečení reagují. „Nicméně je třeba mít na paměti, že kybernetická bezpečnost a její zajišťování je určitý proces, takže je potřeba občas firmám připomenout, že nejde o jednorázovou aktivitu, kterou by si vyřešily a daly do šuplíku, jak to mají někteří tendenci dělat, ale že se jí musí věnovat kontinuálně a reagovat na aktuální hrozby a situace,“ uvedl Švéda.
Jak firmy, kterých se dotkne evropská směrnice NIS2 implementovaná do novely kybernetického zákona, reagují na to, že budou muset zpřísnit svá bezpečnostní opatření? Podle Martina Švédy se dají firmy dle jejich přístupu rozdělit na dvě množiny. V první jsou firmy, které už kyberbezpečnostní zákon reguloval a z jejichž pohledu dojde k minimální změně. A pak jsou společnosti, kterých se tato povinnost dotkne nově a doteď to nevěděly. „Na druhou stranu regulace je jenom takovým doplněním toho, co by každá organizace měla dělat sama pro zachování své vlastní činnosti. Zákon je vlastně jenom takovou zastřešující legislativou nad něčím, co by se už dít mělo,“ míní Švéda.
S blížící se účinností zákona přibývá dotazů na NÚKIB
Regulované „nováčky“ lze podle vedoucího oddělení regulace soukromého sektoru NÚKIB rozdělit na ty, kteří se už připravují i bez zákona a je jim toto téma blízké, a na ty, kteří budou vytrvale čekat, dokud zákon vstoupí v platnost, a teprve potom se podle něj budou zařizovat. „Pro ty bude ta situace samozřejmě nejhorší,“ konstatuje Švéda, podle něhož lze očekávat, že potíže můžou nastat u dodavatelů regulovaných firem. „Samotné firmy by měly vědět, že jejich dodavatelé vstupují do jejich systému, podílí se na jejich službě a přiměřeně tomu by je měli informovat a vyžadovat od nich určité bezpečnostní standardy,“ vysvětluje. Novinkou pak bude, že stát vstoupí do dodavatelských vztahů a bude tato bezpečnostní opatření prověřovat. „Ale tato povinnost se týká velmi úzké množiny strategicky nejdůležitějších organizací spadajících pod nový zákon,“ konstatuje Martin Švéda.
NÚKIB v souvislosti s blížím se termínem účinnosti nového zákona o kybernetické bezpečnosti zaznamenává stále častější dotazy ze strany organizací a firem. „Dotazy chodí především na to, zda daná organizace bude, nebo nebude spadat pod nový zákon. Jejich počet narůstá souběžně s tím, jak se krátí lhůta, kdy se očekává, že zákon vstoupí v platnost,“ říká Martin Švéda. Stát by se tak mělo začátkem příštího roku v závislosti na tom, jak rychle návrh zákona projedná Parlament a podepíše prezident republiky.
