Už tento čtvrtek marně uplyne lhůta, kterou evropská směrnice NIS2 dala členským státům k transpozici nových pravidel kybernetické bezpečnosti do národní legislativy. Příslušný návrh zákona přitom až do konce října sbírá ve výborech pozměňovací návrhy od poslanců. Má tedy cenu za situace, kdy není jasné, v jaké podobě, odkdy a s jakými povinnostmi regulace kyberbezpečnosti začne platit, uvažovat už teď o přípravách?
Podle právničky Michaely Holíkové z Rowan Legal je nyní čas na strategické uvažování a plánování, jak nové povinnosti zvládnout. „Z praxe můžu říct, že na zavedení kompletního systému řízení bezpečnosti informací včetně zvládnutí certifikace je potřeba zhruba 12 měsíců,“ odhaduje Holíková.
ROWAN LEGAL je přední tuzemskou advokátní kanceláří specializující se na právo IT, kybernetickou bezpečnost, telekomunikace, řešení sporů a arbitráží, korporátní a obchodní právo, duševní vlastnictví a hospodářskou soutěž včetně veřejných zakázek. Mezi její klienty patří největší národní a mezinárodní korporace včetně veřejných institucí. V kancelářích v Praze a Brně zaměstnává přes 100 spolupracovníků, z toho více než 90 zkušených právníků pravidelně oceňovaných v tuzemských i mezinárodních oborových žebříčcích.
ROWAN LEGAL, partner seriálu Regulace podle NIS2.
Návrh zákona ve stávající podobě přitom dává regulovaným subjektům čas dohromady až 15 měsíců od účinnosti na to, aby bezpečnostní opatření zavedly. Tato startovní čára, odkdy se jednotlivé dílčí lhůty (napřed pro registraci a posléze pro zavádění opatření) začínají počítat, je přitom stále v nedohlednu a termín 1. leden 2025 je podle dosavadního průběhu stále čím dál méně pravděpodobným. Přesto má cenu se začít připravovat už teď.
Začněte digitální inventurou
Michaela Holíková doporučuje se nyní zaměřit na analýzu stavu organizace a využívaných aktiv. Od věci není ani vypracovat podklady pro analýzu rizik, pokud je toto bezpečnostní opatření pro organizaci nové. A následně pamatovat i na řízení dodavatelů. „I v základní podobě, jak ji známe z aktuálně účinné vyhlášky o kybernetické bezpečnosti, je to proces, který zpravidla jde přes několik oddělení či odborů, které je potřeba zkoordinovat a přivést ke společnému stolu, aby výsledný proces byl účinný a efektivní,“ vysvětluje.
Nejen podniky, ale i ostatní v budoucnu regulované subjekty před koncem roku také sestavují rozpočty na příští v období. A v nich by měly na kyberbezpečnost rovněž pamatovat, včetně alokace lidských zdrojů. U subjektů ve vyšším režimu povinností je nutné počítat s obsazením 3 bezpečnostních rolí (manažera, architekta a auditora kybernetické bezpečnosti). U mírněji regulovaných subjektů pak postačí určit osobu odpovědnou za kyberbezpečnost. „Průzkumy říkají jasně, že takové množství kvalifikované pracovní síly na českém pracovním trhu chybí. O to víc je potřeba nyní přemýšlet nad jejich zajištěním,“ upozorňuje Holíková.
Někdy není nutné přímo nabírat nové lidi, ale využít těch stávajících. Třeba se sami chtějí ve struktuře firmy posunout. I takový člověk ale potřebuje náležité školení a zkušenosti. Stejně tak se vedení může rozhodnout některou z funkcí outsourcovat. „Z praxe to vidíme hlavně u auditora nebo u odpovědné osoby za kybernetickou bezpečnost v nižším režimu. Ale i outsourcing je potřeba naplánovat a včas zajistit,“ podotýká právnička.
Stanovit univerzálně odhady nákladů na kybernetickou bezpečnost, které by se daly vztáhnout na většinu v budoucnu regulovaných subjektů, není možné. Až analýza aktuálního stavu, která nasvítí jak to, co už je správně nastavené, tak všechny případné mezery, které bude potřeba k souladu s novou právní úpravou překlenout, dokáže přiřadit navrženým opatřením odpovídající cenovku.
I naplánovaná opatření se počítají
„Pro některé společnosti to budou maximálně stovky tisíc korun. Ale může se jednat i o strategický projekt obnovení firewallů rozložený do několika let a tam se můžou rozpočty pohybovat v řádech desítek milionů korun,“ potvrzuje široké cenové rozpětí variant právnička. V tomto případě je však dobré vědět, že i naplánované splnění bezpečnostního opatření v přiměřené časové lhůtě je splněním požadavku na zavedení bezpečnostních opatření. Tedy pokud si firma bude vědoma toho, že určité bezpečnostní riziko v blízké budoucnosti vyřeší konkrétním způsobem a tento poznatek zanese do příslušné dokumentace, bude před kontrolou z Národního úřadu pro kybernetickou a informační bezpečnost z obliga.
Pro už zmíněnou přípravu rozpočtu na příští rok může pomoci rozdílová analýza stávajícího stavu řízení kyberbezpečnosti proti požadavkům, které se s příchodem kyberzákona na podnik snesou, ať už dle nižšího, či vyššího režimu českých vyhlášek, nebo opatření podle prováděcího nařízení Evropské komise pro poskytovatele digitálních služeb.
„Analýza jde provést formou jednoduchého assessmentu v Excelu, nebo za pomoci nástroje, který pomůže zautomatizovat postup nápravných opatření. Využít je možné i externích společností, které k samotné analýze přidají velký kus expertízy a praktických zkušeností, což může ve výsledku celkově snížit náklady na zavedení požadovaných opatření,“ naznačuje možnou cestu Holíková.
Vedení udává správný tón
Rozhodování o alokaci zdrojů na další období je úlohou managementu podniku. Tomu ale směrnice NIS2 a z ní odvozená připravovaná národní úprava přisuzuje zcela klíčové kompetence při zavádění kybernetické bezpečnosti a prosazování jejích principů. „Vrcholné vedení musí stanovit strategii kybernetické bezpečnosti, integraci jejího řízení do stávajících procesů a zajistit podporu a potřebné zdroje pro naplňování úkolů odpovědných osob zastávajících bezpečnostní role,“ vyjmenovává nové povinnosti právnička.
Vedle toho se musí vedení společnosti také podílet na vypracování analýzy dopadů jako podkladu pro zajištění procesů business continuity, účastnit se předepsaných školení a informovat zaměstnance o významu zajištění kyberbezpečnosti. „Norma ISO 27001 pro to má hezký výraz – vedení společnosti má nastavovat správný ‚tón shora‘,“ uzavírá Holíková.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU