Evropa proti kyberzločinu. Nová direktiva o IT bezpečnosti ovlivní tisíce firem
Nová evropská směrnice o kybernetické bezpečnosti NIS 2 ovlivní tisíce českých firem. „Za nesplnění požadavků na IT bezpečnost jim budou hrozit vysoké pokuty,“ říká Tomáš Kudělka z KPMG
redaktor
V Česku už nyní platí direktiva o IT bezpečnosti, transformovaná do zákona a následně vyhlášky o kybernetické bezpečnosti. Stovky firem zejména z oblasti kritické infrastruktury podle ní musejí zajistit, aby byly dostatečně chráněné proti kybernetickým hrozbám. Ačkoli ji ne všechny firmy dodržují, na cestě je její nová, přísnější verze.
Nově bude regulovat výrazně více subjektů. V současnosti se to týká zhruba 350 organizací, od roku 2024 to bude nějakých šest tisíc. Záměr je, aby směrnice NIS 2 nechránila „jen“ stát jako NIS 1, ale obecně občany a podniky v Evropské unii.
Od NIS 2 se očekává především větší odolnost subjektů vůči kyberhrozbám a následně výrazně zmírňující dopad na množství a závažnost bezpečnostních incidentů. Předpokládá se také pozitivní dopad na zajištění rovných kyberbezpečnostních podmínek v členských státech EU a snížení rozdílů v úrovni vyspělosti kyberbezpečnosti napříč jednotlivými státy EU.
Samotné požadavky se už moc lišit nebudou. Dotčené subjekty budou mimo jiné povinny zpracovávat důkladné analýzy rizik a hlídat kyberbezpečnost i ve svých dodavatelských řetězcích. Vyžadováno bude pravidelné školení zaměstnanců. Další akcentovanou oblastí je hlášení bezpečnostních incidentů a sdílení bezpečnostního reportingu na podnikové, národní i evropské úrovni. Zásadní novinkou je i požadavek použití evropského systému certifikace produktů kybernetické ochrany.
Požadavky jsou specifikované ve vyhlášce o kybernetické bezpečnosti. Obsahuje podrobně rozepsaný návod, co by měla firma dělat, aby vyřešila svou kybernetickou bezpečnost. Začíná to tím, že by si měla udělat analýzu rizik – určit, co chrání a proti jakým hrozbám. Pak jsou ve vyhlášce rozepsané jednotlivé oblasti. Od organizačních opatření, co požadovat po zaměstnancích, přes fyzickou bezpečnost, například vstupní karty, až po výčet technických opatření. Tedy jak technicky zabezpečit síť, jednotlivé aplikace, jak spravovat identity uživatelů nebo přístupová práva v rámci informačních systémů a podobně.
Dnes se týká zmiňované kritické infrastruktury státu a klíčových firem – tedy například bank, energetických společností, správy železnic, dopravních podniků a podobně. Důležitý rozdíl je, že dnešní směrnice v určitých případech regulovala jen části některých společností. To znamená, že i ti, kteří už si museli bezpečnost řešit, ji vyřešili jen v části své organizace. NIS 2 nejenže rozšiřuje působnost na nové firmy, ale také stanovuje, že už regulované firmy budou muset splňovat pravidla jako celek, nejen vybrané části nebo systémy.
NIS 2 dopadne v různé míře téměř na všechna odvětví ekonomiky. Některá odvětví, jako například vesmír či veřejná správa, pokrývá NIS 2 úplně nově. Jiná odvětví už částečně regulovala NIS 1. Dám příklad: pod NIS 1 už spadá necelých padesát nemocnic, hlavně ty významné jako fakultní a krajské. Pod NIS 2 by ale mělo spadat až 200 nemocnic, tedy prakticky všechny. Podobné je to i v energetice – pod NIS 1 byly jen vybrané elektrárny, pod NIS 2 jich bude mnohem víc.
Podle některých zveřejněných případů se zdá, že ani tu dnes některé firmy nedodržují…
Je to, jak říkáte. Řada subjektů už teď regulovaných požadavky neplní. Častou příčinou bývá, že například bezpečnostní ředitel na zajištění kybernetické bezpečnosti nemá dostatek peněz. Jeho požadavky se vůbec nedostanou k nejvyššímu vedení, takže i kdyby chtěl, nemá šanci naplnění směrnice zajistit. Jinde se sice peníze našly, ale až po kontrole a výtkách NÚKIB a na splnění požadavků směrnice se teprve pracuje.
Pokud to srovnám na základě našich dat, z pozice konzultanta, poptávka po bezpečnostních prověrkách plnění požadavků NIS 1 je mezi firmami v Česku například oproti Polsku, Rumunsku nebo Maďarsku výrazně nižší. Nižší je u nás i míra investic firem do kybernetické bezpečnosti.
Může to být menší aktivitou či přísností regulátora, který na to dohlíží. Kolik a jak vysokých pokut rozdal NÚKIB? Pokud firma s miliardovým obratem dostane milionovou pokutu, často ji raději zaplatí, než aby se kyberbezpečností zabývala. Myslím si, že strašák sankcí by musel být větší, a NIS 2 jde tímto směrem. Pokuty za nesoulad s NIS 2 jsou stanoveny ve výši až deseti milionů eur či dvou procent z celkového celosvětového ročního obratu (záleží na tom, která z částek je vyšší).
V posledním roce se poptávka po poradenství v oblasti kybernetické bezpečnosti v Česku mírně zvyšovala, ale je otázka, jestli je to těmi medializovanými případy, nebo tím, že se víc mluvilo o nové směrnici NIS 2. Navíc třeba některé veřejné instituce nerozpohybovalo ani to.
Směrnice je schválená a platit má od roku 2024. V každé firmě by měl tyto věci sledovat specialista na IT bezpečnost, je to jeho práce. Navíc se o tom firmy dozvědí od NÚKIB, který je v osvětě poměrně aktivní, aktivnější než v minulosti. Úřad k tomu spustil i specializovaný web, pořádá kulaté stoly, konference… Cest, jak se dozvědět důležité informace, je tedy dost. Podstatné je ale zdůraznit, že směrnice zvýší i požadavky na stát, respektive NÚKIB, případně jiný úřad, který to bude řešit.
Například auditní roli. Dosud měl NÚKIB na starosti 350 institucí, nově jich bude násobně víc. Kromě toho má třeba úřad certifikovat produkty. Jednoduše řečeno – pokud chce být firma v souladu s NIS 2, měla by využívat hardware a software, který je úředně certifikovaný. Bude potřeba vyměňovat si informace s úřady v ostatních státech. Je otázka, jestli to bude NÚKIB stíhat, případně jestli posílí, nebo se část těchto úkolů outsourcuje třeba na konzultantské společnosti.
Bude záležet na tom, v jakém odvětví daný subjekt působí a jak dobře už má kyberbezpečnost řešenou nyní. Zásadní roli bude mít to, kolik povinností mu uloží NIS 2, která dělí povinné subjekty do dvou skupin – na základní a důležité. Základních bude méně – zhruba tisíc –, ale jsou na ně kladeny přísnější nároky.
V návrhu NIS 2 byl odhad, že subjekty, na které regulace dopadne, budou potřebovat zvýšit své současné výdaje na bezpečnost ICT zhruba o dvanáct až dvaadvacet procent. U středně velkých podniků půjde o investice řádově v jednotkách či desítkách milionů korun a u těch největších až ve stovkách.
Ve směrnici je strašák v podobě přímé odpovědnosti statutárního orgánu, nepůjde tedy už všechno hodit na bezpečnostního manažera. Odpovědnost sice nebude trestněprávní, ale statutár by mohl přijít o svou funkci.
O tom se hodně diskutuje, většinou se závěrem, že odborníků dostatek nebude. Ani NÚKIB nebude mít jednoduché sehnat tu potřebnou „armádu“ expertů pro dohledové nebo certifikační týmy, kterou by potřeboval. Ani pro nás není jednoduché najít kvalitní volné specialisty na IT bezpečnost.
Tento řetězící mechanismus je velice zajímavý. V podstatě bude platit, že aby firma splnila regulaci, bude muset zajistit, že všichni její dodavatelé ji splní také. Směrnice tedy bude mít rovněž multiplikační efekt – kromě těch asi šesti tisíc organizací zasáhne pravděpodobně i podstatně širší okruh dalších, které budou muset svoji kybernetickou bezpečnost vyřešit. Ve velkých nadnárodních firmách už tyto mechanismy nějakou dobu fungují, u menších podniků ale zatím ne.
Mělo by to tak být, protože tím prostě nebudou v souladu se směrnicí. Otázkou je, jak přísně se to bude ze začátku posuzovat v praxi.
Tomáš Kudělka (47)
• Vystudoval Vysokou školu ekonomickou v Praze.
• Po dokončení studií nastoupil jako konzultant pro IT bezpečnost do KPMG.
• Poté šest let působil ve společnosti Diebold Nixdorf a tři roky ve firmě Simac Technik.
• Poslední tři roky opět pracuje v KPMG, kde vede technologický tým. Dohlíží na IT projekty, zejména v oblastech strategie IT a kybernetické bezpečnosti.