Jiří Štěpán, CEO Etnetera Group
Etnetera Group / MidJourney / Shutterstock.com, koláž Hrot24
Aby jeden kybernetický útok nepoložil celou zemi. Jak se připravit na novou směrnici?
Od 1. listopadu začne v Česku platit nový zákon o kybernetické bezpečnosti, který přenáší evropskou směrnici NIS2 do české legislativy. Co si pod ním vlastně představit? Jednoduše řečeno pravidla, která mají zajistit, že firmy v kritických odvětvích budou mít svou kyberbezpečnost pod kontrolou a jeden útok nepoloží celé odvětví nebo infrastrukturu.
Jiří Štěpán
NIS2 po mnoha firmách vyžaduje, aby věnovaly kyberbezpečnosti pozornost na úrovni managementu, hlásily včas bezpečnostní incidenty, a až problém skutečně přijde, měly připravené krizové scénáře. A ignorovat to se nemusí vyplatit – ve hře jsou pokuty až do výše 250 milionů korun.
Osobně vidím, že spousta firem přípravu na zavedení směrnice podceňuje. Pokud jste zjistili, že musíte požadavkům směrnice vyhovět, rád bych vás v tomto článku uklidnil a dal pár praktických tipů, jak se na nástup NIS2 připravit.
A také ukázal, že směrnice není jen další byrokratický požadavek z EU, ale velmi dobrá investice do vaší bezpečnosti, důvěry a stabilního růstu.
Vycházím z vlastní zkušenosti – NIS2 pochopitelně implementujeme i u nás ve firmě a pomáháme s tím dalším. A není to taková hrůza.
Týká se to i mě?
To je nejspíš první otázka, kterou si teď kladete. Záleží na dvou věcech – v jakém odvětví podnikáte a jak jste velcí. Pokud se věnujete energetice, zdravotnictví, financím, dopravě, výrobě nebo podobným regulovaným sektorům, zaměstnáváte více než 50 lidí a ročně dosahujete obratu přes deset milionů eur (cca 243 milionů korun), pak je velmi pravděpodobné, že ano.
Někomu se směrnice nevyhne bez ohledu na velikost. Nejjednodušší, co můžete udělat, je ověřit si to podle metodiky NÚKIB a ušetřit si tak nepříjemné překvapení.
Pokud zjistíte, že pod NIS2 spadáte, je nejvyšší čas na inventuru. Zeptejte se sami sebe: bez kterých systémů se vaše firma neobejde? Kdo vám je dodává a jak máte tuto dodávku smluvně zajištěnou? A co jednotlivé systémy vzájemně propojuje?
Jakmile v tom máte jasno, můžete pokračovat a podívat se na procesy. Jak řídíte přístupy zaměstnanců k těmto systémům? Co se stane, když dojde k problému? Máte připravený záložní plán?
Odpovědi na tyto otázky vám dají realistický obrázek o tom, v jaké situaci se nacházíte. A také ukážou, která část vaší firmy má největší dopad na zákazníky a provoz – a kde tedy začít.
Co je rozumné minimum?
Nejprve si ujasněte, kdo zodpovídá za jednotlivá rizika. Musíte jmenovat konkrétní lidi, nejen IT oddělení, a to na úrovni managementu.
Potom si připravte jednoduché manuály, tzv. playbooky – scénáře pro krizové situace, ve kterých se můžete nejpravděpodobněji ocitnout. V nich definujte, kdo na problém narazí jako první a koho o něm informuje.
Myslete například na to, že dvoufaktorové ověření by mělo být standardem napříč firmou – ideálně single sign-on. Pokud v nějakém týmu stále sdílí jeden login do systému deset lidí nebo používají své @gmail.com účty, rovnou to zrušte.
Stejně tak byste měli mít dohled nad logováním přístupů, nepodceňovat zálohy a pravidelně testovat, zda fungují. To je solidní technický základ, který vás udrží v chodu a při kontrole obstojí.
Nicméně technické opatření nestačí. Největším rizikem je a bude uživatel. Proto začněte pracovat na tom, abyste uživatele pravidelně a aktivně seznamovali s bezpečnostními riziky. Naučili je rozeznat, na co klikat, a vštípili jim základní návyky. Bez toho to nepůjde.
Jak stihnout termín a nezešílet
Deadline, od kdy budete muset směrnici vyhovět, je sice až za rok, ale pro firmy to znamená doslova „za dveřmi“. Nemusíte hned nakupovat drahé technologie – více užitku vám přinese pořádek v systémech, rolích a procesech.
NIS2 navíc nepožaduje vyšší nároky jen na procesy, ale i na vedení. Pokud jste CEO, musíte prokázat, že si s riziky umíte poradit a v případě krize máte dobře nastavené postupy. Pokud to zhruba do jednoho roku nezvládnete, riskujete pokutu až 250 milionů korun nebo dvě procenta obratu.
Ale ruku na srdce – riziko pokuty není to hlavní. NIS2 vynucuje opatření, která jsou rozumná a jejich zavedení výrazně snižuje riziko úspěšného útoku na vaši společnost, spolu s možnými provozními, finančními a reputačními škodami.
Pokud už ve firmě pracujete s certifikací ISO 27001, máte výhodu. I když nemáte certifikaci, samotný systém řízení bezpečnosti (ISMS) vám dá strukturu a důkazy, které NIS2 vyžaduje. Celou přípravu to výrazně zrychlí.
Co dělat, když se něco stane?
Nejčastější spouštěč je lidská chyba – prozrazení přihlašovacích údajů, nadměrné přístupy nebo špatně nastavené systémy. Když problém nastane, první hodina rozhoduje.
Zachovejte chladnou hlavu, použijte připravený playbook a striktně se ho držte. NIS2 vám stanoví přesné lhůty – varování do 24 hodin, oznámení incidentu do 72 hodin nebo finální zpráva do měsíce. Poté analyzujte, co zlepšit, aby se problém neopakoval.
Nejdůležitější jsou lidé
Vše závisí na každodenních návycích zaměstnanců. Nevyhýbejte se pravidelným krátkým školením a simulacím krizových situací. NIS2 explicitně vyžaduje školení zaměstnanců.
Například u nás v Etneteře jsme připravili LMS Academy na platformě Scormium, kde firmy najdou školení pro rozšíření základních bezpečnostních návyků.
Proč je to důležité? Hodina výpadku vás může stát statisíce korun, u větší firmy i desítky milionů. Investice do bezpečnosti se vrátí nejen ušetřenými náklady, ale i rychlostí uzavírání byznysu.
Například pokud zákazník pošle bezpečnostní dotazník se sto otázkami, certifikace ISO 27001 nebo NIS2 může tendr zkrátit o týdny.
Co si z toho vzít?
Nemá smysl panikařit. Zjistěte, zda se NIS2 týká vaší firmy, udělejte pořádek v rolích a procesech, připravte lidi a začněte hned. Termín se blíží rychleji, než se možná zdá.
Autor je CEO Etnetera Group
Máte co říci? Pošlete nám svůj komentář na komentare@hrotmedia.cz
