Na firmy nejen v České republice během příštího roku dopadnou požadavky vycházející ze směrnice Evropské unie NIS2, respektive novely kybernetického zákona. Koho se budou nové regulace týkat? A proč by měla každá firma věnovat pozornost zajištění své kybernetické bezpečnosti?
Ing. MARTIN KONEČNÝ, MBA, CISM
Cybersecurity konzultant, GUARDIANS.CZ, zakladatel CyberSecurityPlatform.cz
Změny se do chodu firem promítnou nejpozději v říjnu 2024. Zákon ale stanoví jistá přechodná období, a regulované firmy tak budou mít na splnění povinností reálně více času. Zatímco současný kybernetický zákon reguluje přibližně 500 organizací, nový by jich měl dle odhadů regulovat více než 10 000. Regulované firmy budou muset plnit zákonem definovaná bezpečnostní opatření a spolupracovat s regulátorem (Národním úřadem pro kybernetickou a informační bezpečnost – NÚKIB).
Jestli se regulace projeví i ve vaší firmě, zjistíte v tzv. „Vyhlášce o regulovaných službách”. Ta stanovuje typy regulovaných služeb a rozděluje je do dvou režimů regulace, a sice do režimu vyšších a nižších povinností.
Koho se regulace týká?
Mezi nově regulovanými službami budou např. služby v energetice, výrobním, potravinářském a chemickém průmyslu, vodním a odpadovém hospodářství, digitální infrastruktuře, poštovní a kurýrní služby a další. Aby firmy pod regulaci spadaly, musí splňovat dvě podmínky – poskytovat alespoň jednu službu v regulovaném odvětví a zároveň musí být středním nebo velkým podnikem (tedy mít 50+ zaměstnanců nebo dosahovat ročního obratu či bilanční sumy roční rozvahy alespoň 250 milionů korun).
Jak efektivně čelit hrozbám?
Požadavky na bezpečnostní opatření, které regulace navrhuje jsou minimum, které by měly firmy plnit, aby zvládaly čelit hrozbám v kyberprostoru. Kybernetickou bezpečnost zajišťujeme především pro sebe a své firmy, nikoliv pro regulátora. Prakticky je vhodné nepodcenit procesy, jako jsou řízení aktiv a řízení rizik, což by mělo zajistit efektivitu při nakládání prostředků do bezpečnosti.
Řízení aktiv je vhodné spojit s analýzou dopadů. Ta nám pomůže s definicí kritických procesů (primárních aktiv) a s definicí dopadových scénářů. Pak je tu ono řízení rizik, a protože rizika je třeba řídit smysluplně, dává smysl navázat na dopadovou analýzu. Provážeme-li dopady a rizikové scénáře, máme relevantní vstupy k analýze rizik. Zjednodušeně pak na neakceptovatelná rizika aplikujeme technická nebo procesní opatření a jejich kombinaci. Tím to však nekončí, vše bychom měli monitorovat (mít stanoveny bezpečnostní metriky), testovat (např. testy na sociální inženýrství, penetračními testy, red teaming apod.), vyhodnocovat a na základě toho také zlepšovat.
Spolupráce a aktivní přístup
Tento přístup v zásadě pomáhá firmám předcházet kybernetickým bezpečnostním incidentům (kybernetickým útokům, kyber kriminálním činům atd.). Mějte na paměti, že bez těchto základních principů opravdu nemá smysl přijmout nákladnou investici do bezpečnostních technologií. Stejně tak nečekejte, že za vás vše udělá externí konzultant. Kvalitní externí konzultant vám nezvládne zajistit požadavky kybernetického zákona bez vaší součinnosti, zájem o takovou formu spolupráce mít pravděpodobně nebude. Zajištění kybernetické bezpečnosti nelze jednoduše nakoupit, vše je to mnohem komplexnější a v zájmu celé společnosti.