Jak firmy a instituce reagují na evropskou směrnici o kyberbezpečnosti NIS2? Jaké konkrétní novinky tento předpis zavede? A bude v možnostech institucí zvládnout přípravu vlastními silami? Nejen to bylo náplní nového dílu podcastové série Právo & Byznys. Pozvání do studia INFO.cz přijali Zbyněk Loebl z advokátní kanceláře PRK Partners a Peter Gardlík, bezpečnostní konzultant ze společnosti IBM.
Termín kybernetická bezpečnost je nejen v médiích skloňován stále častěji. Hovoří se o potřebě systematického řešení jak na národních úrovních, tak především na té mezinárodní.
Podle Zbyňka Loebla je právě spolupráce na mezinárodní úrovni klíčová pro ustavení adekvátního právního rámce. Z pohledu Petera Gardlíka je podstatné, že vytvářením společného právního rámce EU buduje svého druhu ekosystém, který poskytne firmám novou hodnotu v podobě odolnosti a ochrany.
„Organizace budou sdílet důležité informace s národními regulátory, kteří též budou navzájem komunikovat. Takže organizace díky tomu mohou být včas varovány, že se na ně může přivalit něco špatného. Vidím to jako správný holistický přístup ke kybernetické bezpečnosti,“ říká konzultant IBM Peter Gardlík.
Právní formalismus
Jde o věc vskutku celospolečenskou. Podle Gardlíka bychom dnes těžko hledali byznysový segment, který se kybernetickou bezpečností zabývat nemusí. „Právě proto vzniká na evropské úrovni úprava, která má mimo jiné za cíl dát najevo, že kyberbezpečnost se netýká jen kritických odvětví, ale i subjektů, které se za kritické nepovažují,“ říká analytik.
Podle něj ale zatím ve firmách v této věci převažuje spíše právní formalismus než aktivní snaha bezpečnost řádně zajistit. „Převládá přístup, kdy si firmy řeknou, že splní povinnost vyplývající ze zákonů, a tím to pro ně končí. Ale jsou i osvícené firmy, kde z vlastní iniciativy zjišťují nejen, zda mají vše správně zabezpečené, ale také aby to vytvářelo nějakou hodnotu.“
Na to Zbyněk Loebl reaguje s tím, že nová evropská směrnice NIS II – která upravuje právní rámec kolem kyberbezpečnosti v 18 kritických segmentech v EU – „má také zuby“, tedy předpokládá sankce za nedodržování opatření, což podle něj může přispět k tomu, že se firmy začnou více zabývat obsahem, který norma nese.
Peter Gardlík připomíná, že formalistní přístup podnikatelů je často dán tím, že jsou pohlceni svými byznysovými nápady, které vytvářejí hodnoty, a nechtějí se zdržovat regulací. Nedochází jim však, že existuje spousta hrozeb, které je o tyto hodnoty, nebo nástroje, které je vytvářejí, mohou připravit.
„Těch hrozeb je řada, k těm nejznámějším patří ransomware či phishingové útoky, ale je jich mnohem víc, protože prakticky každá technologie je zneužitelná či hacknutelná jiným způsobem. Z mého pohledu je podstatné, aby firmy věděly, jaké konkrétní technologie a systémy v organizaci mají a jaká rizika jsou s nimi spojena,“ říká odborník. Oba hosté se shodují, že základním úkonem pro byznysový sektor je tak udělat si ve svých systémech a technologiích pořádek.
Aktiva a rizika
Loebl upozorňuje, že řada nařízení v oblasti kyberbezpečnosti již platí, například nařízení DORA o digitální provozní odolnosti pro finanční sektor. Současně se v návaznosti na NIS II v Česku chystá nový zákon o kybernetické bezpečnosti.
Ten přináší několik nových okruhů: „První se dá nazvat sebeurčením, tedy firmy si samy určí, zda služby, které poskytují, jsou podle nového zákona regulované, či nikoli. Registrují se u Národního úřadu pro kybernetickou bezpečnost, který rozhoduje o oprávněnosti registrace. Pokud ji schválí, má firma rok na to, aby dala věci do souladu,“ uvádí právník.
V dalším kroku se firmy budou muset zaměřit na povahu veškerých svých aktiv a určit, která z nich souvisí přímo s regulovanými službami. To může být složitější, než se zdá. „Pro firmy, které s tím nemají zkušenost a nepřistupují k tomu kontinuálně delší dobu, je to dost náročné, ale bez toho se to neobejde. Best practice v kyberbezpečnosti nám napovídá, že na začátku musíme mít vyřešené dvě základní roviny – první je asset management, druhá risk management,“ přibližuje Peter Gardlík.
V této souvislosti analytik připomíná, že nemusí být v silách každé organizace provést analýzu rizik ve vlastní režii. „Na trhu je dost firem, které jim s tím budou umět pomoci, jak s nastavením procesu řízení aktiv, tak s nastavením procesu řízení rizik. Ale řada firem má též dostatek vlastních odborníků, kteří si s tím poradí,“ říká.
Podle Loebla takovou osobou nemusí být vždy jen IT odborník, ale též právník či jiný expert na oblast compliance. „V ideálním případě někdo, kdo splňuje všechny tyto role. Už proto, že nová úprava a prováděcí vyhlášky s ní související budou předpokládat i vyšší úroveň bezpečnostních opatření, a tedy i určení rolí a pozic, kdo má být zapojen,“ komentuje expert PRK Partners.
Jak budou podle nového zákona o kybernetické bezpečnosti vypadat praktické kroky poté, co si organizace udělají primární domácí úkoly? Na které z nich se bude vztahovat přísnější režim a na které volnější? A co by hosté podcastu na nové regulaci změnili? I to se dozvíte v podcastu Právo & Byznys.
