Hrotcast: Bude máslo za stovku? A proč doženeme Německo nejdřív za 50 let?

Česko nemůže závratně růst, když Německo ekonomicky neprospívá, říká známý ekonom Lukáš Kovanda v novém Hrotcastu. A jak je to se závislostí či nezávislostí na ruském plynu?

Česko nemůže závratně růst, když Německo ekonomicky neprospívá, říká známý ekonom Lukáš Kovanda v novém Hrotcastu. A jak je to se závislostí či nezávislostí na ruském plynu?

Celý článek
0

Kadmium a olovo v čokoládách Lindt? Švýcarský výrobce má v USA víc problémů

Švýcarský výrobce čokolády Lindt čelí v USA žalobě, která zpochybňuje jeho tvrzení o prémiové kvalitě a bezpečnosti výrobků. Spor vyvolaly výsledky studie, jež odhalila přítomnost těžkých kovů v některých hořkých čokoládách značky.

Švýcarský výrobce čokolády Lindt čelí v USA žalobě, která zpochybňuje jeho tvrzení o prémiové kvalitě a bezpečnosti výrobků. Spor vyvolaly výsledky studie, jež odhalila přítomnost těžkých kovů v některých hořkých čokoládách značky.

Celý článek
0

Tykačova skupina Sev.en GI koupila dvě ocelárny Celsa v Británii a Skandinávii

Český miliardář podniká hlavně v energetice a těžbě hnědého uhlí, ale také v realitách a financích. Ocelářství jeho skupina vnímá jako klíčový obor pro svůj další růst.

Český miliardář podniká hlavně v energetice a těžbě hnědého uhlí, ale také v realitách a financích. Ocelářství jeho skupina vnímá jako klíčový obor pro svůj další růst.

Celý článek
0

Evropa proti kyberzločinu. Nová direktiva o IT bezpečnosti ovlivní tisíce firem

Nová evropská směrnice o kybernetické bezpečnosti NIS 2 ovlivní tisíce českých firem. „Za nesplnění požadavků na IT bezpečnost jim budou hrozit vysoké pokuty,“ říká Tomáš Kudělka z KPMG

Evropa proti kyberzločinu. Nová direktiva o IT bezpečnosti ovlivní tisíce firem
Tomáš Kudělka | foto KPMG

V Česku už nyní platí direktiva o IT bezpečnosti, transformovaná do zákona a následně vyhlášky o kybernetické bezpečnosti. Stovky firem zejména z oblasti kritické infrastruktury podle ní musejí zajistit, aby byly dostatečně chráněné proti kybernetickým hrozbám. Ačkoli ji ne všechny firmy dodržují, na cestě je její nová, přísnější verze.

Jaké změny přinese nová direktiva o IT bezpečnosti?

Nově bude regulovat výrazně více subjektů. V současnosti se to týká zhruba 350 organizací, od roku 2024 to bude nějakých šest tisíc. Záměr je, aby směrnice NIS 2 nechránila „jen“ stát jako NIS 1, ale obecně občany a podniky v Evropské unii.

Od NIS 2 se očekává především větší odolnost subjektů vůči kyberhrozbám a následně výrazně zmírňující dopad na množství a závažnost bezpečnostních incidentů. Předpokládá se také pozitivní dopad na zajištění rovných kyberbezpečnostních podmínek v členských státech EU a snížení rozdílů v úrovni vyspělosti kyberbezpečnosti napříč jednotlivými státy EU.

Kromě toho, že zahrne mnohem víc firem, bude se NIS 2 lišit i v požadavcích na samotnou kybernetickou bezpečnost?

Samotné požadavky se už moc lišit nebudou. Dotčené subjekty budou mimo jiné povinny zpracovávat důkladné analýzy rizik a hlídat kyberbezpečnost i ve svých dodavatelských řetězcích. Vyžadováno bude pravidelné školení zaměstnanců. Další akcentovanou oblastí je hlášení bezpečnostních incidentů a sdílení bezpečnostního reportingu na podnikové, národní i evropské úrovni. Zásadní novinkou je i požadavek použití evropského systému certifikace produktů kybernetické ochrany.

Co konkrétně už nyní legislativa firmám nařizuje?

Požadavky jsou specifikované ve vyhlášce o kybernetické bezpečnosti. Obsahuje podrobně rozepsaný návod, co by měla firma dělat, aby vyřešila svou kybernetickou bezpečnost. Začíná to tím, že by si měla udělat analýzu rizik – určit, co chrání a proti jakým hrozbám. Pak jsou ve vyhlášce rozepsané jednotlivé oblasti. Od organizačních opatření, co požadovat po zaměstnancích, přes fyzickou bezpečnost, například vstupní karty, až po výčet technických opatření. Tedy jak technicky zabezpečit síť, jednotlivé aplikace, jak spravovat identity uživatelů nebo přístupová práva v rámci informačních systémů a podobně.

Jakých firem se konkrétně týká směrnice dnes a na jaké se rozšíří?

Dnes se týká zmiňované kritické infrastruktury státu a klíčových firem – tedy například bank, energetických společností, správy železnic, dopravních podniků a podobně. Důležitý rozdíl je, že dnešní směrnice v určitých případech regulovala jen části některých společností. To znamená, že i ti, kteří už si museli bezpečnost řešit, ji vyřešili jen v části své organizace. NIS 2 nejenže rozšiřuje působnost na nové firmy, ale také stanovuje, že už regulované firmy budou muset splňovat pravidla jako celek, nejen vybrané části nebo systémy.

NIS 2 dopadne v různé míře téměř na všechna odvětví ekonomiky. Některá odvětví, jako například vesmír či veřejná správa, pokrývá NIS 2 úplně nově. Jiná odvětví už částečně regulovala NIS 1. Dám příklad: pod NIS 1 už spadá necelých padesát nemocnic, hlavně ty významné jako fakultní a krajské. Pod NIS 2 by ale mělo spadat až 200 nemocnic, tedy prakticky všechny. Podobné je to i v energetice – pod NIS 1 byly jen vybrané elektrárny, pod NIS 2 jich bude mnohem víc.

Jak byste zhodnotil naplňování té dnešní, už platné směrnice?

Podle některých zveřejněných případů se zdá, že ani tu dnes některé firmy nedodržují…

Je to, jak říkáte. Řada subjektů už teď regulovaných požadavky neplní. Častou příčinou bývá, že například bezpečnostní ředitel na zajištění kybernetické bezpečnosti nemá dostatek peněz. Jeho požadavky se vůbec nedostanou k nejvyššímu vedení, takže i kdyby chtěl, nemá šanci naplnění směrnice zajistit. Jinde se sice peníze našly, ale až po kontrole a výtkách NÚKIB a na splnění požadavků směrnice se teprve pracuje.

Jak si vedeme v mezinárodním srovnání?

Pokud to srovnám na základě našich dat, z pozice konzultanta, poptávka po bezpečnostních prověrkách plnění požadavků NIS 1 je mezi firmami v Česku například oproti Polsku, Rumunsku nebo Maďarsku výrazně nižší. Nižší je u nás i míra investic firem do kybernetické bezpečnosti.

Čím to je? Nefunguje hrozba pokut?

Může to být menší aktivitou či přísností regulátora, který na to dohlíží. Kolik a jak vysokých pokut rozdal NÚKIB? Pokud firma s miliardovým obratem dostane milionovou pokutu, často ji raději zaplatí, než aby se kyberbezpečností zabývala. Myslím si, že strašák sankcí by musel být větší, a NIS 2 jde tímto směrem. Pokuty za nesoulad s NIS 2 jsou stanoveny ve výši až deseti milionů eur či dvou procent z celkového celosvětového ročního obratu (záleží na tom, která z částek je vyšší).

Nezabraly a nevystrašily firmy zanedbávající bezpečnost ani medializované problémy, například kolaps nemocnic v Benešově a Brně nebo Ředitelství silnic a dálnic po kyberútocích?

V posledním roce se poptávka po poradenství v oblasti kybernetické bezpečnosti v Česku mírně zvyšovala, ale je otázka, jestli je to těmi medializovanými případy, nebo tím, že se víc mluvilo o nové směrnici NIS 2. Navíc třeba některé veřejné instituce nerozpohybovalo ani to.

Odkdy se firmy, kterých se směr­nice nově dotkne, mají připravit na kontroly? A jak se vlastně dozvědí, že se na ně nová směrnice vztahuje?

Směrnice je schválená a platit má od roku 2024. V každé firmě by měl tyto věci sledovat specialista na IT bezpečnost, je to jeho práce. Navíc se o tom firmy dozvědí od NÚKIB, který je v osvětě poměrně aktivní, aktivnější než v minulosti. Úřad k tomu spustil i specializovaný web, pořádá kulaté stoly, konference… Cest, jak se dozvědět důležité informace, je tedy dost. Podstatné je ale zdůraznit, že směrnice zvýší i požadavky na stát, respektive NÚKIB, případně jiný úřad, který to bude řešit.

Co máte na mysli?

Například auditní roli. Dosud měl NÚKIB na starosti 350 institucí, nově jich bude násobně víc. Kromě toho má třeba úřad certifikovat produkty. Jednoduše řečeno – pokud chce být firma v souladu s NIS 2, měla by využívat hardware a software, který je úředně certifikovaný. Bude potřeba vyměňovat si informace s úřady v ostatních státech. Je otázka, jestli to bude NÚKIB stíhat, případně jestli posílí, nebo se část těchto úkolů outsourcuje třeba na konzultantské společnosti.

Jak velké investice bude pro firmy splnění požadavků NIS 2 představovat?

Bude záležet na tom, v jakém odvětví daný subjekt působí a jak dobře už má kyberbezpečnost řešenou nyní. Zásadní roli bude mít to, kolik povinností mu uloží NIS 2, která dělí povinné subjekty do dvou skupin – na základní a důležité. Základních bude méně – zhruba tisíc –, ale jsou na ně kladeny přísnější nároky.

V návrhu NIS 2 byl odhad, že subjekty, na které regulace dopadne, budou potřebovat zvýšit své současné výdaje na bezpečnost ICT zhruba o dvanáct až dvaadvacet procent. U středně velkých podniků půjde o investice řádově v jednotkách či desítkách milionů korun a u těch největších až ve stovkách.

Kdo je ve firmě zodpovědný za (ne)dodržení pravidel?

Ve směrnici je strašák v podobě přímé odpovědnosti statutárního orgánu, nepůjde tedy už všechno hodit na bezpečnostního manažera. Odpovědnost sice nebude trestněprávní, ale statutár by mohl přijít o svou funkci.

Budou na všechny tyto novinky lidské kapacity – konzultanti, úředníci, experti na IT bezpečnost pro firmy?

O tom se hodně diskutuje, většinou se závěrem, že odborníků dostatek nebude. Ani NÚKIB nebude mít jednoduché sehnat tu potřebnou „armádu“ expertů pro dohledové nebo certifikační týmy, kterou by potřeboval. Ani pro nás není jednoduché najít kvalitní volné specialisty na IT bezpečnost.

Firmy by měly zodpovídat také za bezpečnost svých obchodních partnerů. Jak to bude fungovat?

Tento řetězící mechanismus je velice zajímavý. V podstatě bude platit, že aby firma splnila regulaci, bude muset zajistit, že všichni její dodavatelé ji splní také. Směrnice tedy bude mít rovněž multiplikační efekt – kromě těch asi šesti tisíc organizací zasáhne pravděpodobně i podstatně širší okruh dalších, které budou muset svoji kybernetickou bezpečnost vyřešit. Ve velkých nadnárodních firmách už tyto mechanismy nějakou dobu fungují, u menších podniků ale zatím ne.

Směrnice počítá s pokutami. Ty by platily i firmy, které si nepohlídají své dodavatele?

Mělo by to tak být, protože tím prostě nebudou v souladu se směrnicí. Otázkou je, jak přísně se to bude ze začátku posuzovat v praxi. 

Tomáš Kudělka (47)
• Vystudoval Vysokou školu ekonomickou v Praze.
• Po dokončení studií nastoupil jako konzultant pro IT bezpečnost do KPMG.
• Poté šest let působil ve společnosti Diebold Nixdorf a tři roky ve firmě Simac Technik.
• Poslední tři roky opět pracuje v KPMG, kde vede technologický tým. Dohlíží na IT projekty, zejména v oblastech strategie IT a kybernetické bezpečnosti.