Nepřipravenost se nevyplatí

Cílem směrnice NIS2 je zavést nová a účinná pravidla pro řešení kybernetické bezpečnosti v rámci organizací. Sepsat si vše jen na papír vám ale stačit nebude. V každé společnosti, na kterou se NIS2 vztahuje, bude potřeba podniknout souhrn konkrétních kroků, které musí daná organizace uskutečnit pro svoji kybernetickou ochranu. Jedná se o subjekty, jejichž bezpečnost není důležitá jen pro jejich samostatné fungování, ale má dopad na celou společnost. Takové subjekty je proto potřeba dostatečně chránit.

Každá organizace, která zjistí, že spadá do gesce NIS2, potažmo pod zákon o kybernetické bezpečnosti a prováděcí vyhlášky, bude mít od účinnosti zákona 30 dní na to, aby se registrovala u NÚKIB. Na implementaci potřebných změn a zavedení technických i organizačních opatření je stanoven jeden rok od doručení vyrozumění o zápisu regulované služby. NIS2 s sebou přináší i přísnější sankce při jejím nedodržování. Pokuty mohou dosahovat až 10 mil. eur nebo 2 % z celkového celosvětového ročního obratu. Při nesplnění povinnosti odstranit nedostatky zjištěné při kontrole mohou následovat další správní tresty – pozastavení platnosti certifikace a pozastavení výkonu řídicí funkce.

Týká se NIS2 i vaší firmy či organizace?

Požadavky dané směrnicí NIS2 budou muset plnit všichni posky­to­va­te­lé regulované služby, přičemž stačí poskytovat jen jednu takovou službu. Zpozornět by tedy v prvním kroku měly všechny soukromé i veřejné společnosti, nezávisle na jejich velikosti. Návrh zákona počítá s tzv. samoidentifikací, kdy musí organizace sama posoudit, zda stanovená kritéria pro provozování regulované služby naplňuje. Poté je nutné určit, zda regulovaná služba spadá do nižších, nebo vyšších povinností, přičemž opět platí, že stačí poskytovat jen jednu službu spadající do vyšších povinností, a celá organizace musí zavést opatření, která jsou u vyšších povinností vyžadována. Následně je firma povinna provést svou registraci u NÚKIB. Druhým kritériem pro stanovení regulované služby je tzv. kritérium pro určení regulované služby, kdy NÚKIB v rámci správního řízení s organizací zhodnotí, zda k naplnění těchto kritérií došlo, nebo ne. Povinnost registrovat se však nadále nese organizace sama.

S identifikací regulované služby není radno otálet, abyste se nepřipravili o čas, který bude nezbytný pro zavedení všech změn souvisejících s implementací NIS2 ve vaší organizaci. Proto doporučujeme co nejdříve a co nejkorektněji identifikovat své služby svépomocí, případně za pomoci konzultace s NÚKIB, abyste se vyhnuli komplikacím v budoucnosti. Je možné, že momentálně ani nevíte, že některou z regulovaných služeb poskytujete. V tomto případě tedy určitě platí – kdo je připraven, není překvapen.

NIS2 je záležitostí managementu, nejde hodit jen na IT

Pokud pomocí samoidentifikace zjistíte, že je směrnice NIS2 téma, které se vás týká, jste teprve na začátku cesty. Cesty, na kterou se v prvé řadě musí vydat vrcholoví manažeři po boku s klíčovými uživateli, právníky, případně i s NÚKIB v roli konzultanta. Jedná se o strategickou záležitost, kterou je potřeba stanovit na úrovni vedení firmy nebo organizace. Každý subjekt totiž bude k NIS2 přistupovat jinak. Každého se týkají jiné hrozby, jiná míra rizika. Neexistuje jedno instantní řešení, které lze vzít a aplikovat na jakoukoli společnost.

Proto nestačí najít si IT implementátora a nechat změny jen na něm. Žádná IT firma vám nebude schopna směrnici naimplementovat od nuly, aniž by věděla, jak fungujete a jak chcete procesy nastavit. IT firmy od vás budou potřebovat podrobné zadání, teprve pak vám mohou pomoci vybrat správné aplikace a nástroje, pomocí kterých vám procesy vhodně naimplementují, a tím minimalizují riziko.

IT oddělení nebo externí IT firma vám samozřejmě může být nápomocná i během tvorby zadání. Může managementu pomoci zorientovat se ve vyhláškách a poradit, na co všechno je potřeba se zaměřit a co je nezbytné si nadefinovat. Je však potřeba ji v této fázi vnímat jen jako poradce a konzultanta.

Jednoduše řešeno, IT firma vám může pomoci zorientovat se ve vyhláškách a poradit vašemu managementu, na co všechno je potřeba se v přípravné fázi zaměřit. Může vám pomoci s kuchařkou, pomůže vám najít správné hrnce a ingredience, ale co budete vařit, je jen na vás, respektive na vedení společnosti. Jakmile bude kuchařka hotová, můžete se s pomocí IT oddělení nebo externí IT firmy pustit do vaření a následně i do servírování.

Co vše od vás bude IT potřebovat? V prvé řadě dostatek času

Organizace, které mají ISO 27k, budou mít přípravu na NIS2 jednodušší, nicméně i u nich bude potřeba kontrola či případná revize opatření, a to v souladu s oblastmi uvedenými v NIS2 a prováděcími vyhláškami. U všech ostatních bude důležité vymezit si dostatek času na to, aby si rozklíčovali a definovali hrozby a přijali opatření, které je eliminují, případně zhodnotili vhodnost stávajících bezpečnostních opatření. TOP management bude muset stanovit klíčová aktiva, bezpečnostní předpisy, určit metodiku a pravidla jejich dodržování, stanovit si pravidla pro školení zaměstnanců, pravidla pro dodavatele, audity a bezpečnost lidských zdrojů – tvorbu hesel, přístupy, logování apod. Je potřeba zaměřit se také na detekování a kontrolu útoků, jejich zaznamenávání a vyhodnocování, antiviry, segmentaci sítě, oddělení zálohovaných dat, aktualizace apod. To vše si vedení organizace musí ujasnit dříve, než se IT pustí do samotné implementace. Nebude totiž stačit si všechno výše zmíněné jen nadefinovat. Bude potřeba vše pomocí vhodných nástrojů začít uvnitř organizace uvádět do praxe a následně i kontrolovat, zda vše funguje, jak má.

Čas jsou peníze – počítejte i s nepřímými náklady

Jednou z největších položek v rámci implementace NIS2 budou investice do nových technologií a bezpečnostních opatření (hardwarových i softwarových), dále pak na školení zaměstnanců, náklady, které s sebou přinesou změny v interních procesech, dlouhodobé náklady na pravidelné audity, aktualizace, vzdělávání, certifikace. Tedy všechny přímé pořizovací i dlouhodobé náklady. Nesmíme ale opomenout ani náklady nepřímé, které s implementací NIS2 souvisí. Celý proces zaměstná personál nad rámec jeho běžné agendy. V některých firmách nejspíš ani nebude možné pokrýt všechny potřebné kroky z vlastních řad a budou muset využít externí lidské zdroje. S tím vším budou spojené dodatečné personální náklady. I na to je třeba myslet hned na začátku, vyčlenit potřebné zdroje a vše strategicky naplánovat.

Zavedení funkčního procesu řízení kybernetické bezpečnosti může být otázka několika měsíců až let.

Konec roku 2024 se blíží a je nejvyšší čas začít se tématem NIS2 zabývat. V lepším případě zjistíte, že žádnou regulovanou službu neprovozujete. V tom druhém případě je potřeba okamžitě zahájit kroky, které povedou ke splnění nových legislativních požadavků. Výhodu mají organizace s ISO 27k, které již řadu opatření zavedly do praxe, a jsou tedy o něco napřed. Naopak pro firmy, které zatím nemají kyberbezpečnost procesně zajištěnou vůbec, nejspíš už včera bylo pozdě. Časová náročnost implementace může být opravdu vysoká, zejména na straně vrcholového managementu v první fázi. Bez toho se celý proces neobejde. Nelze vařit bez potřebných ingrediencí. Naopak nečinnost nebo zpoždění v implementaci může pěkně zavařit vám. Chcete-li se vyhnout vážným právním a finančním důsledkům, začněte se samoidentifikací co nejdříve. Nejde jen o sankce a tresty. Jde především o bezpečnost a eliminaci hrozeb, které mohou mít dopad i mimo vaši organizaci.

Ing. Gabriela Chumchalová Autorka působí na pozici Cloud and IT services manager ve společnosti ANAFRA.