Kybernetická bezpečnost již dávno přestala být jen záležitostí IT oddělení. Každý den je na světě vyprodukováno obrovské množství dat, řada procesů se přesunula do digitálního prostředí, proto jsou i firmy stále více vystaveny riziku kybernetických útoků.
Hackeři využívají čím dál sofistikovanějších technik, a tak se ochrana firemních dat stává zásadní prioritou. Kybernetické útoky mohou mít různé podoby, nejčastěji se jedná o ransomware, který znepřístupní firemní systémy a požaduje výkupné, phishingové kampaně, které cílí na neopatrné zaměstnance nebo také DDOS útoky, které přehltí a následně ochromí webové stránky. I když se na první pohled může zdát, že útoky cílí spíše na velké korporace nebo veřejnou sféru, malé a střední podniky také nejsou výjimkou. Není to tak dávno, kdy kybernetické útoky na klíčové instituce ukázaly, jak může nedostatečná připravenost na kybernetické hrozby vést ke ztrátě důvěry veřejnosti i finančním škodám, a to i v případě projektů s vysokým potenciálem a přínosem pro společnost. Jedním z příkladů je útok na Ředitelství silnic a dálnic (ŘSD), který byl proveden pomocí ransomwaru a způsobil značné škody. Útok byl hodnocen jako velmi profesionální a výsledkem bylo zašifrování dat. Náklady na obnovu systémů po tomto útoku dosáhly 30 milionů korun. Další významný incident se týkal tuzemských bank, které čelily DDoS útokům. Tyto útoky způsobily výpadky a zpomalení internetového bankovnictví a webových stránek bank, což mělo dopad na schopnost klientů vykonávat online platby a další bankovní transakce. Přestože tyto útoky nebyly zaměřeny přímo na finanční ztráty klientů nebo prolomení bankovních systémů, ukázaly zranitelnost infrastruktury a důležitost prevence a připravenosti na podobné hrozby. Rozsáhlý kybernetický útok zasáhl i České dráhy a systém některých tuzemských letišť, což vedlo k výpadkům mobilní aplikace pro nákup jízdenek a vyhledávání spojů, stejně jako k výpadkům webových stránek některých letišť. Tento útok měl dopad na služby veřejné správy a byl přičítán proruské hackerské skupině Killnet. Zpráva NÚKIB o stavu kybernetické bezpečnosti v ČR za rok 2023 uvádí, že oproti loňskému roku došlo téměř k 80% nárůstu kybernetických bezpečnostních incidentů. Vzhledem k současné geopolitické situaci je potřeba počítat s tím, že množství a rozsah kybernetických útoků se budou zvyšovat. Právě v reakci na rostoucí hrozby a nebezpečí kybernetických útoků byla na evropské úrovni přijata směrnice NIS2, která nastavuje nová a přísnější pravidla pro zajištění kybernetické bezpečnosti. V České republice se tato směrnice promítá do nového zákona o kybernetické bezpečnosti, který je aktuálně projednáván v Poslanecké sněmovně. Tento zákon představuje zásadní změnu nejen v ochraně velkých firem a kritické infrastruktury, ale právě i dalších podniků a sektorů.
Kybernetická bezpečnost v kontextu firemního řízení
„Firmy si musí uvědomit, že kybernetická bezpečnost není jen technickým problémem, který se vyřeší instalací základních nástrojů, jako jsou např. antivirový program nebo firewall. Je třeba vnímat ji jako dlouhodobý a strategický prvek, který může přímo ovlivnit celkový chod firmy a její úspěch na trhu. Stačí jeden úspěšný útok, a firma může přijít o citlivá data, přístup k systému nebo dokonce ztratit důvěru svých klientů. V tomto směru se dá říci, že nový zákon o kybernetické bezpečnosti nutí firmy k proaktivnímu přístupu a požaduje, aby se na hrozby preventivně připravily a nečekaly až na to, že se něco stane,“ říká Kateřina Kalužová, manažerka pro digitální ekonomiku SP ČR.
Rozšíření působnosti zákona: Co to znamená pro firmy?
Jednou z klíčových změn, kterou nový zákon přináší, je výrazné rozšíření působnosti. Zatímco dosavadní regulace se týkala přibližně 400 subjektů, nový zákon rozšíří svou působnost až na 10 000 subjektů napříč různými sektory, jako např. energetika, bankovnictví, zdravotnictví, výroba, digitální infrastruktura, kurýrní služby, vodní hospodářství, internetová tržiště, doprava, nakládání s odpady, služby datových center, potraviny, chemický průmysl apod. To znamená, že i menší podniky, které nebyly dosud povinny dodržovat konkrétní bezpečnostní standardy, budou muset přizpůsobit své interní procesy a systémy tak, aby vyhověly novým pravidlům. Často se stává, že firmy si nejsou jisty, jestli budou povinnou osobou, a pokud ano, tak jestli v režimu vyšších, nebo nižších povinností. Proto je dobré si to ověřit např. na portálu NÚKIB (portal.nukib.gov .cz), na kterém je k dispozici online kalkulačka.
Přísnější pravidla pro zajištění kybernetické odolnosti
Podle nového zákona bude pro firmy povinné zavádět preventivní opatření, která jim pomohou čelit kybernetickým hrozbám a útokům. Mezi tato opatření patří například pravidelný monitoring bezpečnosti, reporting kybernetických incidentů, ale i povinná školení zaměstnanců, která je naučí rozpoznat potenciální rizika. Klíčovým prvkem bude také provádění bezpečnostních auditů, které odhalí slabá místa v systémech a pomohou je posílit. Je nutné počítat s tím, že implementace nových pravidel si vyžádá investice jak do technologií, tak i do personálních kapacit. Výše těchto nákladů bude značně individuální — lze předpokládat, že pokud se firma zajištění kybernetické bezpečnosti dlouhodobě věnuje, tak její náklady nebudou vysoké ve srovnání např. s firmou, která bude muset zavést úplně nové postupy. V takových případech je určitě dobré požádat o prvotní konzultaci přímo NÚKIB, případně i Svaz průmyslu a dopravy ČR má připravené speciální kurzy, jejichž cílem je firmy na novou regulaci připravit.
Sankce za neplnění povinností
Zásadní motivací pro firmy, aby dodržovaly nová pravidla, jsou i vyšší pokuty za neplnění povinností. Neplnění stanovených povinností může ohrozit nejen finanční stabilitu firmy, ale i její reputaci na trhu. Je proto nezbytné, aby firmy aktivně sledovaly požadavky nové legislativy a zajistily, že jsou v souladu s novými předpisy. Novinkou je také odpovědnost vrcholového vedení firmy. Pokud členové top managementu regulovaných subjektů v režimu vyšších povinností nezajistí splnění povinností plynoucích z NIS2, resp. zákona o kybernetické bezpečnosti, může to pro ně mít dva hlavní negativní důsledky: 1. Může jim být soudem zakázáno vykonávat činnost ve statutárních orgánech. 2. V případě závažného porušení povinností řádného hospodáře může NÚKIB uložit pokuty. Pokuty hrozí opravdu vysoké. V návaznosti na evropskou směrnici to může být až 250 milionů korun nebo 2 % z celosvětového obratu firmy, přičemž se uplatní ta vyšší z těchto dvou částek. Významnou roli při prosazování efektivní kybernetické bezpečnosti hraje sociální dialog v podnikatelském prostředí. Prostřednictvím otevřené komunikace mezi zaměstnavateli, zaměstnanci a zástupci odborových organizací lze lépe identifikovat rizika a společně nastavit preventivní opatření, která firmám pomohou čelit kybernetickým hrozbám. Důležitou součástí je také školení zaměstnanců v oblasti bezpečnostních protokolů a sdílení nejnovějších poznatků o možných hrozbách. Spolupráce mezi vedením firem a zaměstnanci přispívá k vytváření bezpečnějšího pracovního prostředí a k posilování firemní odolnosti vůči kybernetickým útokům. /www.spcr.cz/
