Pokud byste měla vybrat z nového zákona o kybernetické bezpečnosti tři základní informace, které by měl každý znát, o co by šlo?
Nejdůležitější je pochopit, že zákon dopadne na mnohem více firem, než se dnes obecně myslí. Regulovanou službou se může stát poměrně běžná činnost v energetice, výrobě, digitální infrastruktuře nebo třeba u poskytovatelů cloudových služeb. Zákon zasáhne i firmy, které nejsou na první pohled velké, ale jsou součástí mezinárodních podnikatelských seskupení. Velikosti podniků se mohou v takovém případě sčítat!
Druhým klíčovým bodem je, že podnikatelé mají po registraci jen rok na implementaci bezpečnostních opatření. A to je extrémně krátké období hlavně pro firmy, které budou muset budovat celý bezpečnostní governance prakticky od nuly!
A za třetí, režim hlášení incidentů se zásadně zpřísňuje: to, co dnes řada společností řeší ad hoc, bude muset fungovat automaticky a ve 24hodinových lhůtách. To všechno znamená jediné – firmy čeká období zvýšených investic, ale i příležitost nastavit technologie a procesy moderně a udržitelně.
Co byznys v nové úpravě kyberbezpečnosti z vašich dosavadních zkušeností nejvíce podceňuje?
Firmy dramaticky podceňují, zda do regulace spadají. Často si myslí, že se jich kyberbezpečnostní zákon netýká, ale když se podíváme na jejich služby, organizační strukturu nebo na to, komu dodávají, je to naopak. Času už však nezbývá hodně. Povinnost registrace platí pro mnoho firem do konce tohoto roku.
Druhým problémem je, že mnozí stále věří, že jde o „IT téma“. Tzn. nedělám IT = netýká se mě to. A to je omyl za milion dolarů (smích). Jde o komplexní řízení rizik, práci s dodavateli, nastavení smluv, odpovědností i krizových scénářů.
A třetí, možná největší riziko je v dodavatelských řetězcích: podniky často nemají dostatečně ošetřené smlouvy, SLA ani bezpečnostní standardy u svých klíčových IT a cloudových partnerů. V praxi pak zjistí, že povinnosti vůči státu prostě nesplní… protože jim to smluvně ani technologicky neumožňuje jejich dodavatel! A náklady na nápravu (= změny smluv, v horším případě pokuty apod.) jsou násobně vyšší, než kdyby se to řešilo včas.
Jak celkově hodnotíte současnou regulaci kyberbezpečnosti? Je odpovídající?
Regulace je přísnější, ale odpovídá realitě. Posun od staré úpravy je obrovský. Firmy budou muset investovat do řízení rizik, modernizace infrastruktury, změny procesů a bezpečnosti dodavatelů. Krátkodobě to zvýší náklady, ale současně to zásadně sníží rizika provozu a dlouhodobě to firmám pomůže fungovat stabilněji, zvlášť těm, které chtějí obchodovat s nadnárodními korporacemi nebo veřejným sektorem.
Na druhou stranu, mnoho firem už z větší části povinnosti podle zákona plní i díky implementaci mezinárodních standardů. Jde pak často hlavně o to své řízení kybernetické bezpečnosti systematizovat a dostat do právního rámce. Nový zákon tak paradoxně není jen povinnost – je to i konkurenční výhoda pro ty, kteří ho zvládnou rychle a kvalitně v prostředí, kde vás kyberútok může stát opravdu hodně.
