Pokud byste měl za kancelář Dostupný advokát vybrat z nového zákona o kybernetické bezpečnosti tři základní informace, které by měl každý znát, o co by šlo?
Za prvé: regulace se týká tisíců společností, které dosud byly mimo dohled. Nejde jen o technologické giganty, ale klidně o střední firmy v potravinářství nebo dopravě.
Za druhé: odpovědnost nese vedení – konkrétně statutáři, kteří musí rozumět rizikům, nebo si minimálně zajistit, aby jim rozuměl někdo jiný v týmu.
A za třetí: pokuty jsou vysoké, ale daleko větší problém je reputační a provozní riziko – když padne systém, nejde o papírový problém, ale o to, že přestanete fungovat.
Co byznys v nové úpravě kyberbezpečnosti z vašich dosavadních zkušeností nejvíce podceňuje?
Pocit, že „nás se to netýká“. Mnohé firmy stále vnímají kyberbezpečnost jako něco, co zajímá především stát či „ajťáky”, nikoli jako strategické riziko.
Realita ale je, že i středně velká firma s padesáti zaměstnanci může být cílem útoku – a je jí pak úplně jedno, že to nedává smysl. Zákon nyní nastavuje režim, ve kterém vedení nemůže zůstat v pohodlné nevědomosti.
Jak celkově hodnotíte současnou regulaci kyberbezpečnosti? Je odpovídající?
Důležitá rozhodně je – ačkoli některé firmy teď varují, že je to byrokratická noční můra. Zákon jde často dál než směrnice EU, ale právě kvůli tomu může fungovat jako účinný budíček. Když vám někdo zašifruje systémy a vy nemáte plán B, tak končíte.
Je to však otázka vyvažování. Problematická může být nová úprava povinností stran dodavatelského řetězce, kdy vlastně může stát zakázat používání konkrétních aplikací. Přesto si myslím, že to je souladné s ústavními zárukami vlastnického práva, zejména pokud se bude vše pečlivě posuzovat.
