„Za tím účelem právní úprava zavádí vůči organizacím, na které se bude vztahovat, povinnost pravidelně vyhodnocovat bezpečnostní opatření a kybernetická rizika, včetně např. rizik souvisejících s dodavateli, provádět pravidelné audity či odborná školení osob uvnitř organizace.“
Pokud byste měl vybrat z nového zákona o kybernetické bezpečnosti tři základní informace, které by měl každý znát, o co by šlo?
Určitě se jedná o skutečnost, že nový zákon oproti stávající úpravě značně rozšiřuje počet subjektů, které podléhají právní úpravě o kybernetické bezpečnosti, že klade vyšší nároky na vrcholové vedení povinných osob či že zavádí přísnější sankce, jež mohou dopadnout přímo na členy vrcholového vedení.
I s ohledem na sankce, které při neplnění povinností hrozí, je nutné se na novou právní úpravu připravit a plnit požadavky kladené na povinné osoby. Zároveň je potřebné novou právní úpravy vnímat jako příležitost pro zvýšení ochrany organizací ve světě, který se stále více přesouvá do online prostoru, pro získání určité konkurenční výhody a zvýšení důvěryhodnosti vůči partnerům či zákazníkům.
Co byznys v nové úpravě kyberbezpečnosti z vašich dosavadních zkušeností nejvíce podceňuje?
Často se stává, že společnosti podceňují kyberbezpečnost jako takovou, tj. že nepřijímají ani základní minimální opatření, případně, že přijatá bezpečnostní opatření pravidelně netestují, nevyhodnocují a nepřizpůsobují novým hrozbám. V důsledku toho se přijatá opatření mohou v průběhu času stát neúčinnými.
Jedním z cílů nové právní úpravy je přitom tyto negativní jevy zmírnit. Za tím účelem právní úprava zavádí vůči organizacím, na které se bude vztahovat, povinnost pravidelně vyhodnocovat bezpečnostní opatření a kybernetická rizika, včetně např. rizik souvisejících s dodavateli, provádět pravidelné audity či odborná školení osob uvnitř organizace. I z tohoto důvodu je nutné právní úpravu považovat nikoliv za nadbytečnou regulaci, nýbrž spíše za návod, jak se v kybernetickém prostoru chránit.
Jak celkově hodnotíte současnou regulaci kyberbezpečnosti? Je odpovídající?
Novou právní úpravu obecně vnímáme jako dostatečně reagující na aktuální hrozby a jako rozumné kompromisní řešení, jež sice na jednu stranu zavádí či rozšiřuje určitou regulaci, avšak jehož smyslem a účelem je ochrana a související úspora nákladů, které by mohly vzniknout v případě úspěšného kybernetického útoku či jiného incidentu.
Důležité je, aby se minimálně povinné osoby novou právní úpravou řídily a zavedly dostatečná bezpečnostní opatření.
