Pokud byste měl vybrat z nového zákona o kybernetické bezpečnosti tři základní informace, které by měl každý znát, o co by šlo?
V prvé řadě vědět, co je tzv. regulovaná služba, resp. regulované odvětví. Povinnosti dle zákona se totiž vztahují právě na poskytovatele těchto regulovaných služeb, kteří působí v regulovaných odvětvích určených doprovodnou vyhláškou k zákonu. Jde o poměrně širokou paletu odvětví od veřejné správy, přes energetiku a potravinářský průmysl, až po zdravotnictví, dopravu a finanční trhy.
V řadě druhé je to povinnost subjektu poskytujícího regulovanou službu ohlásit ji Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Lhůta je šedesát dnů ode dne naplnění podmínek pro registraci regulované služby či od vstupu nového zákona v účinnost.
Za třetí je to hlášení kybernetických bezpečnostních incidentů. Poskytovatelé regulovaných služeb budou povinni tyto incidenty hlásit prostřednictvím portálu NÚKIB.
Co byznys v nové úpravě kyberbezpečnosti z vašich dosavadních zkušeností nejvíce podceňuje?
Firmy nejčastěji podceňují přípravu a včasné plánování. A to bohužel neplatí jen v oblasti kyberbezpečnosti. Mnoho organizací má dojem, že se jich nová pravidla netýkají, a pokud ano, že stačí investovat do drahého technického řešení. Jenže zákon je postaven na řízení rizik, dokumentaci procesů a odpovědnosti, ne pouze na nákupu samospasné technologie.
Druhým podceňovaným aspektem je proškolování zaměstnanců a interní kultura bezpečnosti. Ani ty nejdražší systémy neochrání firmu, pokud zaměstnanci neznají či nedodržují bezpečnostní pravidla, důvěřivě klikají na phishingové odkazy nebo používají slabá hesla.
A konečně — chybí komunikace mezi IT a managementem. Kyberbezpečnost je často vnímána jako čistě technické téma, ale nový rámec z ní dělá strategickou otázku vedení firmy, která musí být řízena z úrovně nejvyššího vedení firmy.
Jak celkově hodnotíte současnou regulaci kyberbezpečnosti? Je odpovídající?
Přijetí směrnice NIS2 i nového zákona o kybernetické bezpečnosti jsou kroky správným směrem. Kybernetické hrozby se vyvíjejí a bezpečnostních incidentů v kyberprostoru je rok od roka více. Proto bylo nutné reagovat. Nová úprava posiluje povinnost řízení rizik, a co je zásadní – zvyšuje povědomí o odpovědnosti vedení firem v této oblasti.
Zároveň je ale třeba říct, že implementace bude pro mnohé firmy náročná – zejména malé a střední podniky budou potřebovat metodickou podporu a jasné pokyny, aby věděly, jak povinnosti naplnit v praxi. Regulace tedy směřuje správným směrem, ale její úspěch bude záviset na tom, jak dobře se podaří ji vysvětlit a aplikovat.
