Směrnice NIS2 dopadne na tuzemské podniky už začátkem příštího roku. Mají co dohánět
České firmy budou muset implementovat robustnější kybernetická bezpečnostní opatření, včetně pravidelného hodnocení rizik, zavedení preventivních a detekčních mechanismů a plánů pro reakci na kyberútoky. Klíčové je například i podrobné sledování bezpečnosti partnerů a dodavatelů. Přestože směrnice neobsahuje v zásadě žádné nové koncepty či opatření, které by již většina velkých společností přirozeně neaplikovala, svírá české podnikatele nejistota.
Mnoho velkých českých společností již splňuje většinu požadavků směrnice NIS2 – konkrétně jde o 70 % z přibližně 6 000 dotčených firem, na které nová regulace od příštího roku dopadne, často díky dřívějším investicím do kybernetické bezpečnosti a dodržování stávajících standardů. Naopak malé a střední podniky nyní čelí novým výzvám, neboť musí začít sbírat data a zavádět bezpečnostní opatření, která pro ně doposud nebyla povinná. Pro tyto firmy představuje směrnice NIS2 novou a finančně náročnou povinnost, i když budou fungovat v nižším režimu.
Investice do kybernetické bezpečnosti v nižším režimu
V následující tabulce najdete hrubý odhad toho, jak by mohly vypadat investice do bezpečnostních opatření v nižším režimu ve společnosti o sto zaměstnancích. Samozřejmě jde pouze o příklady a reálné náklady se mohou lišit v každé společnosti a stejně tak s ohledem na použité technologie. Zároveň nejde o kompletní výčet požadavků zákona. Pokud jde o vyšší režim, náklady, které budou muset společnosti vynaložit, jsou výrazně vyšší ve srovnání s nižším režimem.
Jen roční lhůta na plnění povinností
Přijetí české verze zákona implementujícího směrnici NIS2, kterou připravil Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), provázely od začátku těžké komplikace. Ať už šlo o odmítnutí podoby zákona v roce 2022 premiérem Fialou, přerušení vládního jednání o implementaci směrnice či nejasnost právních definicí, pro české firmy a podniky celý legislativní proces nebudil důvěru.
„Velké české firmy vědí moc dobře, že na ně NIS2 začátkem roku dopadne. Ve skutečnosti dokonce již většinu svých povinností přirozeně plní, ostatně nový kybernetický zákon je postaven na mezinárodně uznávaných a již platných standardech. Implementace nových nástrojů je ale náročná na čas i finance, a tak se v tomto ohledu mezi velkými a malými firmami pomalu rozevírají nůžky,“ vysvětlila Zuzana Kubíková, head of management consulting v poradenské společnosti RSM.
| Bezpečnostní opatření / technologie | Možné vstupní náklady |
| Školení uživatelů a vedení společnosti | 20 000 Kč |
| Zpracování dokumentace | 30 000 Kč |
| Pravidelné audity | 40 000 Kč |
| Zálohování (2TB, HW, SW licence) | 60 000 Kč |
| Řízení identit (Identity management) | 250 000 Kč |
| Ochrana koncových zařízení (EDR) | 100 000 Kč |
| Firewall na perimetru | 50 000 Kč |
| Skenování zranitelností | 50 000 Kč |
„Kolem dvou třetin společností, které k nám přijdou s žádostí o poradenství ohledně NIS2, nevnímá celou legislativu zpočátku jako nic víc než další zbytečnou regulaci a povinnosti. Rychle ale pochopí, že zčásti už mají splněno, a vidí pak NIS2 postupně spíše jako příležitost,“ dodala Kubíková.
Mnoho větších českých firem přitom už má část svých povinností splněnou. Díky implementaci národních předpisů, jako je předchozí Zákon o kybernetické bezpečnosti, mají společnosti solidní základ pro plnění nových evropských standardů. Firmy v kritických sektorech, jako jsou energetika, finance nebo zdravotnictví, uplatňují bezpečnostní politiky a postupy, které odpovídají některým požadavkům NIS2 navíc dlouhodobě. Je nutné ale dodat, že není důvod sedět se založenýma rukama.
Podle odborníků z poradenské společnosti RSM jsou české podniky na příchod směrnice dobře připraveny. „Podle našich informací má z oněch 6 000 společností, kterých se NIS2 v roce 2025 týká, zhruba 70 % takřka beze zbytku své povinnosti splněné. Čekají je tak jen spíš formality,“ vysvětlila Kubíková.
„Velmi zbystřit by však měly společnosti, které spadají do takzvaného nižšího režimu povinností. Ten se týká firem, které do NIS2 budou spadat nově právě od příštího roku. Velkou část povinností sice budou mít stejné jako firmy ve vyšším režimu, odpadají jim ale takové záležitosti, jako je audit kybernetické bezpečnosti, řízení rizik a vyhodnocování kybernetických bezpečnostních událostí,“ dodala Kubíková.
Některé české firmy, na které se bude NIS2 vztahovat, už mají zavedené systémy řízení bezpečnosti informací podle mezinárodních standardů, jako je ISO/IEC 27001, a pravidelně provádějí hodnocení rizik. To znamená, že již implementují technická a organizační opatření pro zajištění kybernetické bezpečnosti a mají zkušenosti s hlášením incidentů příslušným orgánům.
Podle RSM je však rozhodně na místě, aby čas do konce roku firmy využily pro GAP analýzu (analýza současného stavu a současných opatření). Ta pomůže firmám zjistit, jaké požadavky směrnice již splňují a v jakých oblastech musí ještě posílit své kybernetické bezpečnostní opatření. To zahrnuje například technické zabezpečení, procesy hlášení incidentů nebo řízení rizik v dodavatelském řetězci.
Dalším klíčovým aspektem je vzdělávání zaměstnanců. České firmy si uvědomují význam lidského faktoru v oblasti kybernetické bezpečnosti a investují do školení a zvyšování povědomí o kybernetických hrozbách. Díky těmto opatřením jsou lépe připraveny čelit novým výzvám a požadavkům, které směrnice NIS2 přináší.
„Opravdu vnímáme výrazně navýšený zájem o školení a vzdělání ze strany českých společností. Je vidět, že přípravu řada z nich nepodceňuje,“ potvrdila Zuzana Kubíková.
Největší výzva? Brát kyberbezpečnost vážně
Největší výzva a zároveň příležitost pro české firmy leží ve zlepšení bezpečnosti a ochraně dat jejich klientů. Firmy musí zavést procesy pro hodnocení kybernetické bezpečnosti svých dodavatelů a obchodních partnerů, aktualizovat smlouvy o požadavky na bezpečnost a zajistit efektivní mechanismy pro sdílení informací o kybernetických hrozbách. Protože ale česká ekonomika je ve všech ukazatelích ekonomikou vyspělou a vyváží především na Západ, lze očekávat, že jejich „skóre“ v hodnocení kyberbezpečnosti bude vysoké. Tím se jim ještě může zvednout reputace na evropském trhu.
S ohledem na skutečnost, že kyberútoky se stávají běžnou hrozbou pro podniky všechny velikostí, je implementace pokročilých technických opatření, jako jsou systémy pro detekci průniků, a nepřetržité monitorování bezpečnostních událostí klíčová pro ochranu před potenciálními útoky.
„Asi největší mezerou, kterou musí v tomto české firmy zacelit, je, aby braly kyberbezpečnost jednoduše vážně. Dobře nastavené procesy a vzdělání zaměstnanců je jedna věc, ale management musí brát tyhle věci vážně a nenastavit je jen ad hoc s představou, že na ‚to‘ stejně nikdy nedojde,“ poznamenala Kubíková. Ve výsledku tak půjde o téma pro celou firmu, nikoli jen pro IT oddělení.
Management by měl být aktivně zapojen do strategického plánování a rozhodovacích procesů týkajících se ochrany informačních systémů a dat. Je důležité, aby si vedení uvědomilo, že kybernetické hrozby mohou vážně ohrozit nejen velké korporace, ale i malé a střední podniky. To vyžaduje investice do školení a vzdělávání na všech úrovních společnosti, aby byla kybernetická bezpečnost vnímána jako společná odpovědnost všech zaměstnanců.
„Obecně platí, že od přijetí zákona mají firmy 60 dní na sebeidentifikaci a reportování, zda a v jakém rozsahu se jich NIS2 týká, a následně rok na implementaci potřebných opatření. Čím dříve začnou, tím lépe pro ně,“ uzavřela Zuzana Kubíková.
