Již od příštího října začnou i v České republice platit nová pravidla pro kybernetickou bezpečnost. Hlavní změnou přitom je, že se výrazně rozšíří počet firem, které se budou muset podle pravidel chovat. „Doposud to byly maximálně stovky firem, nově to budou tisícovky,“ připomíná Tomáš Budník, investor a zakladatel skupiny Thein.
Na firmy může po pravidlech GDPR dopadnout zcela nová sada pravidel. Přinést je má nový zákon o kybernetické bezpečnosti, pro který se vžila zkratka NIS 2. Firmy by se podle něj měly začít chovat již od října příštího roku.
„Oproti původnímu zákonu o kybernetické bezpečnosti ten nový přináší jednu hlavní změnu. Zatímco první zákon vyjmenovával firmy a instituce, které pod něj spadají a musejí jej naplňovat, nový zákon to takto nečiní. Firmy ale budou muset samy aktivně zjistit, jestli patří mezi subjekty, na něž se zákon vztahuje,“ připomíná Tomáš Budník, zakladatel skupiny Thein, která se i prostřednictvím fondu J&T Thein SICAV na kybernetickou bezpečnost zaměřuje.
Logika, podle níž firmy buď budou spadat pod nový zákon, nebo nikoli, je přitom podobná, jako v původním zákoně. Pokud daná instituce či firma jsou nějakým způsobem důležité pro chod společnosti, budou muset dodržovat pravidla, která zákon určuje. „Doposud to byly stovky firem, nově to budou jistě tisíce subjektů,“ dodává Budník.
Hlavní opatření
Ze zákona bude vyplývat celá řada povinností. Těmi hlavními budou:
Povinnost přijmout vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik (článek 18 NIS 2).
Odpovědnost vedoucích orgánů za přijatá opatření v oblasti kybernetické bezpečnosti a povinnost dohledu. Za účelem získání dostatečných znalostí a dovedností mají členové vedoucích orgánů také povinnost absolvovat pravidelná školení v oblasti kybernetické bezpečnosti (článek 17 NIS 2).
Oznamovací povinnost pro každý incident, který má závažný dopad na poskytování služeb (článek 20 NIS 2).
Tomáš Budník pak připomíná, že na rozdíl od pravidel GDPR, u nichž byly ve firmách označeny zodpovědné osoby, u NIS 2 bude zodpovídat vedení firmy.
Připravit se včas
I to bude znamenat velký tlak na firmy, aby pravidla skutečně začaly plnit co nejdříve. To však bude znamenat nejprve důsledný audit digitálních procesů, technologií i zaměstnanců. Přitom čas, který na to firmy budou mít, se rychle krátí. Druhý problém pak podle zakladatele skupiny Thein je v tom, že na trhu neexistují dostatečné kapacity odborníků, kteří by danou problematiku zvládli.
„Vychovat bezpečnostního technika trvá řádově pět až sedm let. To je dlouhá doba. A na trhu jich opravdu není mnoho. Navíc patří k lidem, které nenajdete na LinkedInu. Nedostatek jich je již v tuto chvíli, kdy se pravidly pro kybernetickou bezpečnost musí řídit jen zlomek subjektů oproti množství firem, které budou spadat pod NIS 2. Je důležité začít se na tuto skutečnost co nejdřív,“ uzavírá Tomáš Budník ze skupiny Thein.