Pokud byste měl vybrat z nového zákona o kybernetické bezpečnosti tři základní informace, které by měl každý znát, o co by šlo?
Za prvé: Zákon se nově vztahuje na mnohem větší okruh subjektů než doposud – nejen na technologické giganty, ale i na střední podniky. Zákon přirozeně cílí na digitální infrastrukturu a služby, na klíčová odvětví od energetiky, zdravotnictví, financí až po méně zjevné sektory jako potravinářství, výzkum nebo třeba poštovní služby.
Za druhé: Samoidentifikace. Je odpovědností každé organizace posoudit, zda poskytuje regulovanou službu a pokud ji poskytuje, má povinnost nahlásit to.
Za třetí: Odpovědnost za kyberbezpečnost už není jakýsi problém IT oddělení, ale odpovědnost nese vedení firmy, tedy statutáři, kteří musí zajistit, aby společnost zajistila řádnou, funkční kyberbezpečnost.
Co byznys v nové úpravě kyberbezpečnosti z vašich dosavadních zkušeností nejvíce podceňuje?
Nejvíc se podceňuje přístup „nás se to netýká“. Mnoho firem pořád vnímá kyberbezpečnost jako problém ajťáků, ne jako strategické riziko. Jenže i firma s padesáti zaměstnanci může být cílem útoku, který může zcela ochromit její chod. Pokud poskytuje regulovanou službu, tak útok ovlivní i spoustu lidí okolo ní.
Jak celkově hodnotíte současnou regulaci kyberbezpečnosti? Je odpovídající?
Někdo ji jistě označí za byrokratickou noční můru, ale myslím, že správně působí jako budíček. Míra i sofistikovanost útoků se zvyšuje a pokud se firmy na takovou hrozbu nepřipraví, je jen otázka času, kdy skončí.
