Kyberbezpečnost | Svět IT

Popis situace / snaha o řešení

Pokud se pohybujete ve světě businessu, nebo jste si v posledním roce třeba jen v autě pustili rádio, nemohla Vám uniknout zpráva o tom, že se blíží nové povinnosti, které nám EU ukládá v oblasti počítačové bezpečnosti a to konkrétně právní akt zvaný zkráceně NIS2.

O co se tedy jedná a proč je to tak horké téma?

S přibývajícím výkonem počítačů a zrychlováním internetových linek nám IT začíná stále více sloužit a prorůstá snad do všech sfér společnosti a každodenního života. Dnes je na internet připojena i firemní lednice a co nevidět bude sama objednávat co v ní chybí.

To je určitě na mnoha úrovních přínosem. Ale stejně tak, jako je tomu v „reálném“ světě kolem nás, tak i v tom virtuálním, když se něco dělá pro dobro lidstva a všeobecný užitek, spolu s tím, se ruku v ruce najde spousta lidí, kteří se na této vlně chtějí svézt a jejich záměr není zdaleka správný.

A tak díky možnostem, které současné IT technologie přináší, na druhé straně dramaticky přibývá nejrůznějších útoků v podobě - hackerských útoků, zneužití dat, úniku osobních informací, phishingu, ransomware, sociálního inženýrství a dalších a dalších forem kyberzločinu. ( viz např. článek ČTK https://www.ceskenoviny.cz/zpravy/pocet-kybernetickych-incidentu-byl-loni-znovu-rekordni-stoupl-na-268/2619438 )

Jaký pak postoj firem, institucí a občanů obecně? Bohužel stále velice vlažný.

A tím, že kromě několika incidentů, které se podařilo ve větší míře medializovat jako je např. Benešovská nemocnice, nebo útok na ŘSD, či z poslední doby např. katastr nemovitostí na Slovensku, je téma pro většinu lidí stále velmi nové a tak nabývají pocitu, že se jich netýká. Následně tedy ani nepodnikají žádné kroky k zabezpečení svých dat a IT infrastruktury, a tím v podstatě otevírají dveře útočníkům, kteří si je mohou velice snadno najít a udeřit.

A zde se právě dostáváme k tomu, co je NIS2 a proč je tu. Vzhledem k tomu, jak velký problém kybernetické útoky znamenají, protože se jedná o mnohamilionové škody a často i bankroty firem. Úniky kompletních firemních dat a jejich zveřejnění. Ochromení institucí veřejné správy v oblasti zdravotnictví, dopravy, školství apod.

Tím, že v poslední době takových útoků skutečně prokazatelně exponenciálně přibývá, vzal zákonodárce dění na této úrovni do svých rukou.

Po NIS1, kterou v businessové sféře, kromě největších korporací, v podstatě nikdo zásadněji nezaznamenal, vydává Evropská komise směrnici NIS2 (Network and Information Systems Directive 2; Směrnice (EU) 2022/2555 přijata dne 27. prosince 2022), která má přinést zásadní změny a na jejím základě vznikají konkrétní povinnosti pro členské státy a dotčené subjekty.

Je zde tedy konkrétní snaha nastavit pravidla toho, co se má považovat za standard zabezpečení, kdo ho musí dodržovat a jak se bude dodržování kontrolovat.

A pokud nebudou subjekty konat to, co je jim uloženo, může kontrolní orgán uložit pokuty v astronomické výši (až 10mil. EUR nebo 2% z celkového ročního celosvětového obratu.).

Na úrovni členských států EU pak vzniká pro vlády povinnost vydání prováděcího předpisu. V našich podmínkách je to pak zákon č. 181/2014 Sb. Zákon o kybernetické bezpečnosti a v návaznosti pak vyhláška č. 82/2018 Sb. Vyhláška o kybernetické bezpečnosti, které stále čekají na svoji novelizaci, na které se pracuje.

Koho se to týká

Pokud be budeme bavit na úrovni soukromého sektoru, tak povinnost vzniká na úrovni dvou kritérií. Jednak je to velikost firmy (povinné jsou subjekty nad 50 zaměstnanců) a zároveň se jedná o subjekty, které působí jednom z taxativně vyjmenovaných segmentů, které zákonodárce vyhodnotil jako klíčové, kde je ochrana nezbytná (zdravotnictví, IT apod.). Směrnice nadále rozlišuje mezi tzv. základními a důležitými subjekty.

Obecně to, jestli subjektu povinnost splnit požadavky NIS2 vzniká nebo ne a v jakém rozsahu, je i dnes stále otázkou vášnivých debat. Nutno říci, že stále v tomto části subjektů není zcela jasno. Tomu se snažil pomoci NÚKIB na svých stránkách zde https://portal.nukib.gov.cz pomocí své „kalkulačky“. Minimálně pro základní přehled určitě dobrý nastroj.

Důvodem je to, že prováděcí předpisy v ČR stále čekají na svou novelizaci a ta byla v poslední době opět odložena.

Pro aktuální informace o tom, zda konkrétně Vaší firmě vzniká povinnost řídit se směrnicí NIS2 a jak konkrétně, nás můžete kontaktovat a rádi Vám pomůžeme v stanovení toho, jaké povinnosti Vám vznikají, nebo naopak nevznikají.

Jaké vznikají povinnosti

Povinností, které NIS2 ukládá soukromoprávním subjektům je celá řada a smyslem tohoto článku není je tady nyní všechny rozebírat. Jedná se rámcově o povinnost registrace povinného subjektu, zavedení bezpečnostních opatření, povinnost hlásit kybernetické incidenty, vést záznamy a dokumentace, určení odpovědných osob, atd.

Co je naopak klíčové zmínit je fakt, že na rozdíl od jiných předpisů podobného charakteru, se kterými jsme se setkávali v minulosti, u NIS2 NELZE SPLNIT POŽADAVKY, KTERÉ SMĚRNICE UKLÁDÁ POUHÝM ZAKOUPENÍM UNIVERZÁLNÍHO PRODUKTU/ŘEŠENÍ.

Toto je velmi důležité pochopit, protože řada firem prezentuje svůj zázračný produkt, při jehož zakoupení budete mít vše splněno a kontroly se Vám budou obloukem vyhýbat.

TO OVŠEM NEMŮŽE BÝT DÁLE OD PRAVDY.

NIS2 má velice široký záběr a zabývá se velmi komplexním tématem IT a IT bezpečnosti, kde je při realizaci požadavků, které firmě vznikají vyžadován ZCELA INDIVIDUÁLNÍ PŘÍSTUP ke každému klientovi a konzultanti, kteří ve firmě NIS2 zavádí musí mít hluboké znalosti z oblasti IT a kybernetické bezpečnosti, spolu s znalostí právních aspektů NIS2 a související legislativy na poli kyberbezpečnosti, včetně zkušenosti s vedením IT dokumentace a auditem.

Každá firma je co do IT infrastruktury unikát a používá jiné produkty a řešení a proto je naprosto klíčové zprvu provedení vstupní analýzy, ze které vznikne navrhovaný postup řešení a to se následně může realizovat.

Kdy má být realizováno

K tématu data ke kterému jsou subjekty povinny realizovat požadovaná opatření je nutné sledovat vývoj na úrovni legislativního procesu a to konkrétně zákona č. 181/2014 Sb. Zákon o kybernetické bezpečnosti, který stále čeká na svou novelizaci. Poslední datum bylo opět odsunuto a tak do té doby, než tato nabude účinnosti se můžeme jen domnívat.

Obecně se ale dá předpokládat, že v následujících měsících bude uvedena novela zákona, následně se povinné subjekty budou muset registrovat u příslušného úřadu a poté budou mít 1 rok na zavedení požadovaných opatření a splnění povinností, které vyplývají z NIS2.

Pokud bychom tedy měli uvést hrubý odhad, můžeme se bavit o druhé polovině roku 2026, kdy by se teoreticky mohly povinnosti vyplývající z NIS2 stát vymahatelnými.

Nutno ovšem myslet na to, že proces zavádění opatření je ve valné většině případů velmi časově a organizačně náročný a tak je důležité nepodcenit čas na přípravu.

Jak umíme řešit my

Naši konzultanti mají bohaté zkušenosti na poli IT a jsou pravidelně školeni a certifikováni. Tím, že jsou v úzkém kontaktu s hlavními orgány, které nastavují pravidla kyberbezpečnosti v ČR a následných kontrol, máme veškeré potřebné informace k tomu, abychom správně vyhodnotili situaci u klienta a navrhli vhodné řešení, které bude plně v souladu s povinnostmi, které nová legislativa přináší.

Na rozdíl o jiných společností, nabízejících zavedení NIS2, naši konzultanti přistupují ke každému klientovi s individuální péčí. Prvním krokem je nezbytná důsledná analýza stavu IT ve firmě klienta, kde podrobně procházíme jednotlivé části IT infrastruktury, definujeme aktiva, stávající míru zabezpečení a dokumentace. Po zpracování získaných informací z úvodní analýzy prezentujeme klientovi jeho povinnosti z pohledu NIS2 a navrhovaná řešení. U návrhů se neomezujeme pouze na jeden, ale rádi prezentujeme více variant řešení, spolu s vysvětlením výhod aždé z nich. V průběhu realizace průběžně informujeme klienta o aktuálním stavu a striktně dodržujeme osobní přístup, tj. zodpovědné osoby za realizaci jsou vždy dostupné na telefonu, e-mailu a účastní se pravidelných schůzek.

O výsledku realizace se vypracuje závěrečná zpráva, popisující realizovaná řešení a finální stav.

Po dokončení realizace jsme i nadále dostupní a otevřeni dalším možnostem spolupráce.

V případě kontroly budeme osobně přítomni tak, abychom zabezpečili její bezproblémový průběh.

NIS2

Popis situace / snaha o řešení

Koho se to týká

Jaké vznikají povinnosti

Kdy má být realizováno

Jak umíme řešit my

Kontaktní formulář

Kontaktujte nás