V říjnu vstoupila v účinnost nová evropská směrnice o kybernetické bezpečnosti známá pod zkratkou NIS 2. Pravidla, která reagují na nejnovější technologický pokrok a mají zvýšit odolnost Evropy vůči digitálním hrozbám, měla Česká republika převést do svého právního řádu. Do podzimu to ale nestihla i téměř pět měsíců po unijním termínu český zákon stále čeká na projednání v poslanecké sněmovně. Zvlášť na přeshraničně působící firmy se přitom zvyšuje tlak, aby se novinkám věnovaly a neztratily tak krok se zahraniční konkurencí. O tom, jak se mají připravit v legislativním vakuu v podcastu České justice a Ekonomického deníku Perspektivy Česka diskutovali ředitel Národního úřadu pro kybernetickou a informační bezpečnost Lukáš Kintr, partner advokátní kanceláře Dentons, Zdeněk Kučera a Patrik Walas ze společnosti Vodafone.
Podle Lukáše Kintra nebude nový zákon až tak revoluční. „Pravidla jsou už z většiny obsažena ve stávajícím zákoně o kybernetické bezpečnosti. Když se podíváme na stávající vyhlášku o kybernetické bezpečnosti, pokud z ní někdo začne vycházet, tak určitě neprohloupí,“ vysvětluje šéf NÚKIB.
Až pro 30 tisíc firem
Hlavní novinkou je to, že regulace se dotkne mnohem většího počtu firem, než bylo doposud zvykem. Zatímco starý zákon o kybernetické bezpečnosti dopadal jen na zhruba 400 společností z takzvané kritické infrastruktury, nově se zásah výrazně rozšíří. Odhady oscilují od šesti tisíc do třiceti tisíc podniků. „Zda spadají pod regulaci, si firmy mohou zjistit ze směrnice. Česká implementace se v tom moc neliší,“ radí Zdeněk Kučera, jak efektivně zahájit přípravu.
Když podnik zjistí, že se ho nová regulace týká, měl by si zpracovat takzvanou GAP analýzu. Jde o přehled o jeho současném stavu kybernetické bezpečnosti ve srovnání s požadavky evropské směrnice. Analýza identifikuje konkrétní mezery v kybernetické bezpečnosti a tím firmám nastíní jasný plán, co ještě musí udělat.
Pak začne běžet roční přechodná lhůta, kdy je zapotřebí mezery zacelit. To ale neznamená, že by firmy měly za každou cenu pracovat na posílení bezpečnosti pod tlakem. „Od chvíle, kdy si uděláte GAP analýzu, nachystáte plán, jak ty mezery zacelit třeba i v delším horizontu, třeba kvůli omezeným zdrojům, tak jste v souladu se zákonem,“ vysvětluje Kintr. Hlavním stavebním kamenem nových pravidel kybernetické bezpečnosti je totiž podle něj především to, aby ji firmy začaly řešit a nastavily si systém pravidelné kontroly. „Je jasné, že v žádný moment nebude sto procent věcí plněno, protože vyjde třeba nějaký nový update. Ale kybernetická bezpečnost je proces ne stav,“ dodává šéf NÚKIB.
Kybernetické útoky jako „nejlepší“ byznys
Posláním nového zákona je především přimět firmy, aby se kybernetickou společností vůbec zabývaly. Je to podobné, jak když před lety vstupovalo v účinnost nové evropské nařízení o ochraně osobních údajů. „Kybernetická bezpečnost by měla být základním stavebním kamenem každé společnosti. Je s podivem, že společnosti řeší ploty obehnané ostnatým drátem, ale neřeší firewally,“ říká Kučera.
Digitální prostor totiž není bezpečným místem. Škodlivá činnost v kyberprostoru patří k nejvýkonnějším „byznysům“ světa s ročním výkonem kolem deseti bilionů dolarů.
Mohlo by vás zajímat
Žádný zákon sám o sobě ale s bezpečností nepohne. „Je to o nás lidech, jak s ním budeme pracovat. Za tisíce let jsme si zvykli, že naši jeskyni musíme chránit a nyní si musíme uvědomit, že naši jeskyni musíme chránit i v kyberprostoru,“ uzavírá Kintr.
Podcast Perspektivy Česka si můžete pustit zde:
Spotify: spoti.fi/3Te7X0O
Apple Podcasts: apple.co/4isDj32
