.jpg?s3=1)
Poslanecká sněmovna aktuálně projednává nový zákon o kyberbezpečnosti. Ten do tuzemského práva implementuje evropskou bezpečnostní směrnici NIS2, s cílem posílit firmy a veřejné instituce v boji proti kybernetickým útokům. Přestože se jedná o zásadní legislativní úpravu, která se nově dotkne tisíců společností v České republice a v různých odvětvích, povědomí o ní mají zástupci firem a veřejných institucí velmi malé. I to ukázal průzkum poradenské skupiny Moore Czech Republic, kterého se zúčastnilo přes dvě stě zaměstnanců na vyšších vedoucích pozicích, šéfů podniků, soukromých podnikatelů nebo vrcholových manažerů napříč obory, jako jsou telekomunikace, zdravotnictví, finance, průmysl či státní správa.
Česká republika zavádí evropskou směrnici NIS2 (Network and Information System Directive 2) novým zákonem o kybernetické bezpečnosti. Ten vychází z už existujícího, dle Národního úřadu pro kybernetickou a informační bezpečnost kvalitně zpracovaného zákona o kybernetické bezpečnosti z roku 2014. Vláda předlohu schválila v létě letošního roku a po prvním čtení ve Sněmovně ji nyní v rámci legislativního procesu projednávají příslušné výbory. V platnost by měl nový zákon vstoupit příští rok, některé jeho povinnosti ale budou mít roční přechodnou lhůtu. Jak ve svém průzkumu zjistila skupina Moore Czech Republic, o nové směrnici NIS2 zajišťující vyšší bezpečnost sítí a informačních systémů zatím neslyšely bezmála tři čtvrtiny respondentů.
„Z průzkumu, který jsme v říjnu realizovali, vyplynulo, že povědomí o směrnici NIS2 je opravdu malé. 72 % respondentů o směrnici NIS2 doposud neslyšelo. Ti, kdo se o NIS2 doslechli, pak o ní ve 39 % případů ví pouze částečně, ve 14 % málo a 5 % dotázaných je v tomto směru téměř bez znalostí. Přitom se jedná o právní úpravu, která přináší důležité regulatorní změny. A to pro značné množství soukromých i veřejných subjektů,“ říká Radek Dvořáček, Manager Moore Technology CZ.
NIS2 kromě jiného definuje poskytovatele regulované služby, kteří se musejí ohlásit Národnímu úřadu pro kybernetickou a informační bezpečnost, zavádět bezpečnostní opatření v režimu předepsaných povinností nebo informovat úřady a zákazníky o kybernetických bezpečnostních incidentech. Které konkrétní kroky bude nutné v soukromých i státních organizacích v souvislosti s novým zákonem o kybernetické bezpečnosti a směrnicí NIS2 přijmout, o tom má detailní přehled jen 18 % účastníků výše uvedeného průzkumu.
Jak připomíná Svaz průmyslu a dopravy České republiky, působnost směrnice, resp. nového zákona, zahrne místo původních několika málo stovek subjektů až 10 tisíc společností. Namátkou – výrobce a prodejce elektrické energie, komerční letecké dopravce, nemocnice, dodavatele a distributory pitné vody i ústřední orgány státní správy. Ti se na nové povinnosti se budou muset dobře připravit. Ať už auditem současného stavu kybernetické bezpečnosti, aktualizací interních procesů nebo třeba spuštěním nových technologií.
„Z našeho průzkumu vyšlo najevo, že komplexní plán pro implementaci požadovaných opatření má pouze čtvrtina organizací. Naopak 29 % jich žádný harmonogram vůbec nemá. Samozřejmě nás také zajímalo, co firmám a institucím brání v tom, aby opatření implementovaly. Mezi ty největší překážky, které respondenti uváděli, patří vedle chybějících financí nedostatek odborných znalostí a složitost legislativních požadavků. Na nedostatek finančních prostředků si stěžovalo 50 % respondentů, 49 % zmiňovalo jako překážku nedostatek odborných znalostí, složitost legislativních požadavků zmínilo 41 % odpovídajících,“ jmenuje Radek Dvořáček.
Mezi respondenty, kteří o směrnici NIS2 vědí, je nicméně samotná směrnice vnímána relativně pozitivně. 23 % respondentů chápe NIS2 jako výraznou příležitost pro posílení důvěry zákazníků a obchodních partnerů ve své společnosti, za částečnou ji označilo 44 %. Jako výrazný přínos pro zlepšení kybernetické bezpečnosti ve firmě ji vnímá 24 % respondentů, 45 % ji označilo za částečně přínosnou.
Některá opatření vyplývající ze směrnice NIS2 přitom firmy již do svých procesů implementovaly. „Opatření, která nová směrnice EU přináší, je mnoho. Ne všechna jsou ovšem pro firmy úplnou novinkou. Pravidelná školení zaměstnanců v oblasti kybernetické bezpečnosti zajišťuje 62 % firem, pravidelné zálohy dat provádí 49 %, běžné je také zabezpečení sítí a systémů proti kybernetickým útokům či používání vícefaktorového ověření identity. Naopak zavedení incident response plánu či hlášení incidentů NÚKIB, respektive národnímu CERT, je ve firmách spíše výjimkou,“ uvádí Miloslav Rut, partner společnosti Moore Technology CZ.
Skupina Moore Czech Republic má s implementacemi právních předpisů do každodenní firemní praxe bohaté zkušenosti. Její odborníci zajišťují potřebné právní analýzy a poradenství, které aplikují s ohledem na převažující činnost dané entity. Identifikují pomyslné trhliny kybernetické bezpečnosti a navrhují efektivní postupy řešení. Působí ve veřejném i v privátním sektoru. (6.11.2024)