Pokud byste měla vybrat z nového zákona o kybernetické bezpečnosti tři základní informace, které by měl každý znát, o co by šlo?
Za prvé, nový zákon výrazně rozšiřuje okruh povinných subjektů. Dopadne nejen na provozovatele kritické infrastruktury, ale i na řadu běžných firem, které zajišťují služby nebo produkty důležité pro fungování společnosti – od energetiky přes logistiku až po poskytovatele IT služeb.
Za druhé, zákon je postaven na principu proporcionality a pro povinné subjekty zavádí dva režimy povinností bezpečnostních opatření. Společnosti jsou do těchto kategorií zařazeny podle své velikosti, postavení na trhu a významu dopadů v případě kybernetického bezpečnostního incidentu. Vyšší režim je bezpečnostní standard a nižší režim slouží k tomu, aby na menší nebo méně kritické organizace dopadly přiměřené povinnosti, které odpovídají jejich velikosti, významu a jejich rizikovému profilu.
A za třetí, kyberbezpečnost se stává manažerským tématem. Zákon už nehovoří jen k IT oddělením, ale k vedení společností – protože řízení kybernetických rizik je dnes stejně důležité jako řízení finančních nebo právních rizik.
Co byznys v nové úpravě kyberbezpečnosti z vašich dosavadních zkušeností nejvíce podceňuje?
Firmy nejčastěji podceňují čas a rozsah přípravy. Mnohé stále vnímají kyberbezpečnost jako technické téma, které vyřeší IT oddělení. Ve skutečnosti jde ale o strategickou oblast řízení, která zahrnuje i právní, organizační a smluvní aspekty.
Velmi často se také přehlíží samotné vyhodnocení dopadu nového zákona – říkáme tomu také proces sebeidentifikace. Některé firmy se mylně domnívají, že do zákona nespadnou, protože „nejsou kritickou infrastrukturou“. Přitom právě střední a větší podniky v klíčových odvětvích jsou pro zajištění jednotné úrovně kybernetické bezpečnosti klíčové.
A nakonec se stále málo řeší dodavatelský řetězec. Zákon klade na povinné subjekty zvýšené povinnosti v rámci řízení bezpečnosti dodavatelského řetězce, a to zejména ve vztahu k tzv. významným dodavatelům. Regulované osoby mají povinnost nejen hlídat vlastní bezpečnost, ale i tu, která se týká jejich dodavatelů, a s těmi významnými to musí mít ještě správně podchyceno ve smlouvě.
Jak celkově hodnotíte současnou regulaci kyberbezpečnosti? Je odpovídající?
Regulace je podle mě potřebná a v zásadě vyvážená. Reaguje na realitu, kde kybernetické útoky představují jedno z největších provozních rizik. Zákon nastavuje jasnější pravidla a odpovědnost – a to nejen pro bezpečnostní odborníky, ale i pro vrcholové vedení firem, které nese konečnou odpovědnost za zajištění kybernetické odolnosti v dané společnosti.
Zároveň ale platí, že regulace sama o sobě nezaručí bezpečnost. Klíčové bude, jak ji organizace dokážou implementovat v praxi. Pokud se podaří propojit právní rámec s reálnou a efektivní správou bezpečnostních rizik, zůstane Česká republika v oblasti kybernetické bezpečnosti na velmi solidní úrovni.
