Pro firmy to bude znamenat bezpečnostní audity, vytvoření bezpečnostních týmů a plánů, investice do infrastruktury nebo povinné hlášení incidentů. „Audity nebo hlášení incidentů v kyberprostoru budou povinné třeba i pro některé mlékárny nebo zemědělská družstva,“ upozorňuje Michal Stachník, člen expertního týmu pro digitální ekonomiku Svazu průmyslu a dopravy a generální ředitel české pobočky technologické firmy Cisco.
Co to je NIS2 a na koho se vztahuje?
Směrnice NIS2 má zvýšit úroveň kybernetické bezpečnosti napříč EU. Směrnice bude převedena do české legislativy, kterou připraví Národní úřad pro kybernetickou bezpečnost (NÚKIB). Ale je jasné, že dotčené firmy budou mít řadu nových povinností, například provést analýzu bezpečnostních rizik, vytvořit bezpečnostní týmy a zpracovat bezpečnostní politiku. Povinné bude také podávat NÚKIB hlášení o incidentech. Tyto povinnosti se již nyní u nás vztahují na zhruba 400 klíčových podniků, nově se ale okruh společností podstatně rozšíří odhadem na nejméně 6000 firem.
Jak firmy zjistí, jestli se jich to týká?
Každý podnik si to musí identifikovat sám. To bude pro řadu firem komplikované a na platformě Svazu průmyslu a dopravy budeme diskutovat, jak firmám pomoci, jak se mají identifikovat a zařadit do jednoho z režimů, které směrnice definuje.
Směrnice se vztahuje na podniky od střední velikosti (50 zaměstnanců, 10 milionů eur roční obrat) ve vybraných oborech. Definuje přitom dvě skupiny podniků, pro něž platí dvě různé úrovně povinností. V kategorii takzvaných „nezbytných“ (essential) jsou například energetické firmy, zdravotnická zařízení, vodohospodářské společnosti nebo podniky z oblasti digitální infrastruktury. Do segmentu takzvaně „důležitých“ (important) se pak řadí třeba poštovní a kurýrní služby, nakládání s odpady nebo potravinářské firmy.
Můžete ve stručnosti říci, co vlastně podniky musí splnit?
Těch podmínek je celá řada a teprve budou v legislativě upřesněny. Ale je tam velká množina koncepčních opatření, jako například bezpečnostní audity, stanovení bezpečnostních politik. Pak aspekty technologické, jako třeba vícefaktorová autentizace nebo ochrana vzdálených zařízení. A konečně je tu otázka personální. Podniky z kategorie „nezbytných“ by třeba měly mít manažera kybernetické bezpečnosti.
IT specialistů je přece všeobecně nedostatek. Kde je firmy seženou?
U nás určitě nenajdete najednou několik tisíc manažerů kybernetické bezpečnosti. Ale mnoho činností lze outsourcovat nebo sdílet. Bezpečnostní řešení lze zase pořídit jako službu, takže firmy nemusí investovat do nákupu nových zařízení a softwaru. Chceme edukovat firmy ohledně možných řešení jejich kyberbezpečnosti.
Jsou české společnosti na zavádění podobných bezpečnostních opatření připraveny?
Myslím, že některé s tím budou mít problémy. Loni v červnu jsme za Cisco udělali průzkum mezi českými a slovenskými IT specialisty a zjistili jsme, že pětina firem vůbec neví, zda měly bezpečnostní incident! Pochopitelně, že nemohu na NÚKIB hlásit incident, když vůbec netuším, zda nastal či nenastal…
Má tedy vůbec v našich podmínkách aplikace takové normy smysl?
S rostoucí digitalizací služeb rostou i kybernetická rizika. Svět útočníků se zcela změnil a dnes jde o velmi sofistikované doslova průmyslové odvětví. Stále častěji se ocitnou v ohrožení i firmy menšího významu. Útok lze dnes provést velmi rychle a levně. Proto má smysl řešit komplexně bezpečnost i u menších podniků. Ten problém by nás stejně dohnal, i kdyby nebylo normy NIS2, tak jako tak by firmy musely přebudovat svou ochranu.
Tradičně totiž budovaly svou bezpečnost jako jakýsi „opevněný hrad“ – co je uvnitř firmy, je v bezpečí. Ale dnes, kdy drtivá většina firemního provozu běží přes internet, desítky aplikací a data máte někde v cloudu a zaměstnanci se do sítě připojují třeba z domova, přestává tento model stačit. Potřebujeme koncept „opevněného hradu“ doplnit konceptem „obrněného rytíře“ – zaměstnanec mimo firmu musí mít zajištěnou stejnou bezpečnost, ať je kdekoliv. Tato filozofie se skrývá pod zkratkou SASE (Secure Access Service Edge).
Myslíte tedy, že existuje dostatečná motivace se NIS2 zabývat?
Podívejme se na to z ryze obchodní stránky. Podle našeho průzkumu Security Outcomes Report mělo v uplynulých dvou letech bezpečnostní incident 60 procent firem. A u 40 procent z nich to mělo za důsledek trvalé poškození pověsti značky. Ochrana firemní pověsti je určitě silným motivem. Ale u NIS2 jsou také stanoveny poměrně vysoké pokuty za porušování předpisů. Sankce může dosáhnout až 10 milionů eur, což rozhodně není zanedbatelné.
