Tomáš Budník: Novinky v cyber security dopadnou na řadu firem. Náklady budou milionové

2-minutové čtení
J&T specialista
sdílení
J&T Redakce



Tomáš Budník: Novinky v cyber security dopadnou na řadu firem. Náklady budou milionové
#Starosti#Byznys#Trendy

Již od příštího října začnou i v České republice platit nová pravidla pro kybernetickou bezpečnost. Hlavní změnou přitom je, že se výrazně rozšíří počet firem, které se budou muset podle pravidel chovat. „Doposud to byly maximálně stovky firem, nově to budou tisícovky,“ připomíná Tomáš Budník, investor a zakladatel skupiny Thein.


Na firmy může po pravidlech GDPR dopadnout zcela nová sada pravidel. Přinést je má nový zákon o kybernetické bezpečnosti, pro který se vžila zkratka NIS 2. Firmy by se podle něj měly začít chovat již od října příštího roku.

„Oproti původnímu zákonu o kybernetické bezpečnosti ten nový přináší jednu hlavní změnu. Zatímco první zákon vyjmenovával firmy a instituce, které pod něj spadají a musejí jej naplňovat, nový zákon to takto nečiní. Firmy ale budou muset samy aktivně zjistit, jestli patří mezi subjekty, na něž se zákon vztahuje,“ připomíná Tomáš Budník, zakladatel skupiny Thein, která se i prostřednictvím fondu J&T Thein SICAV na kybernetickou bezpečnost zaměřuje.

Logika, podle níž firmy buď budou spadat pod nový zákon, nebo nikoli, je přitom podobná, jako v původním zákoně. Pokud daná instituce či firma jsou nějakým způsobem důležité pro chod společnosti, budou muset dodržovat pravidla, která zákon určuje. „Doposud to byly stovky firem, nově to budou jistě tisíce subjektů,“ dodává Budník.


Hlavní opatření

Ze zákona bude vyplývat celá řada povinností. Těmi hlavními budou:

​Povinnost přijmout vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik (článek 18 NIS 2).

​Odpovědnost vedoucích orgánů za přijatá opatření v oblasti kybernetické bezpečnosti a povinnost dohledu. Za účelem získání dostatečných znalostí a dovedností mají členové vedoucích orgánů také povinnost absolvovat pravidelná školení v oblasti kybernetické bezpečnosti (článek 17 NIS 2).

​Oznamovací povinnost pro každý incident, který má závažný dopad na poskytování služeb (článek 20 NIS 2).

Tomáš Budník pak připomíná, že na rozdíl od pravidel GDPR, u nichž byly ve firmách označeny zodpovědné osoby, u NIS 2 bude zodpovídat vedení firmy.


Připravit se včas

I to bude znamenat velký tlak na firmy, aby pravidla skutečně začaly plnit co nejdříve. To však bude znamenat nejprve důsledný audit digitálních procesů, technologií i zaměstnanců. Přitom čas, který na to firmy budou mít, se rychle krátí. Druhý problém pak podle zakladatele skupiny Thein je v tom, že na trhu neexistují dostatečné kapacity odborníků, kteří by danou problematiku zvládli.

„Vychovat bezpečnostního technika trvá řádově pět až sedm let. To je dlouhá doba. A na trhu jich opravdu není mnoho. Navíc patří k lidem, které nenajdete na LinkedInu. Nedostatek jich je již v tuto chvíli, kdy se pravidly pro kybernetickou bezpečnost musí řídit jen zlomek subjektů oproti množství firem, které budou spadat pod NIS 2. Je důležité začít se na tuto skutečnost co nejdřív,“ uzavírá Tomáš Budník ze skupiny Thein.


Upozornění

Uvedené informace představují názor J&T Banka, a.s., který vychází z aktuálně dostupných informací v čase jeho zhotovení k výše uvedenému dni. Uvedené informace nepředstavují nabídku, investiční poradenství, investiční doporučení k nákupu či prodeji jakýchkoliv investičních nástrojů ani analýzu investičních příležitostí. Uvedené prognózy nejsou spolehlivým ukazatelem budoucí výkonnosti. J&T Banka, a.s., nenese žádnou odpovědnost, která by mohla vzniknout v důsledku použití informací uvedených v tomto materiálu. O případné vhodnosti investičních nástrojů se poraďte se svým bankéřem, investičním zprostředkovatelem nebo jeho vázaným zástupcem.