Průzkum připravenosti českých firem na směrnici NIS2, který provedla aliance NIS2Ready, odhalil, že 70 % respondentů zatím není připraveno na zpřísnění požadavků na kybernetickou bezpečnost vyplývající z nové směrnice a s potřebnými kroky doposud nezačali. Privátní sektor je na tom přitom o něco lépe než veřejný.
Rada Evropské unie 22. listopadu 2022 schválila směrnici NIS2 (Network and Information Security Directive 2) s cílem posílit kybernetickou bezpečnost v klíčových sektorech, jako je energetika, doprava, zdravotnictví a vodárenství. Směrnice NIS2 nahrazuje původní směrnici NIS z roku 2016 a zavádí přísnější požadavky na prevenci kybernetických incidentů a reakci na ně. Česká republika má povinnost transponovat směrnici NIS2 do svého vnitrostátního práva do 18. října 2024. Vláda ČR již schválila návrh zákona o kybernetické bezpečnosti (nZKB), který má tuto transpozici provést. Zákon se nyní nachází v legislativním procesu a předpokládá se, že vstoupí v účinnost koncem roku 2024. Ačkoliv však tedy zákon ještě nenabyl platnosti a v řadě detailů může projít změnami, základní principy vyplývající ze zmíněné směrnice jsou již jasné a dotčené firmy mají nejvyšší čas se na změny připravit. Výsledky nejnovějšího průzkumu však ukazují, že české organizace jsou na novou legislativu v oblasti kybernetické bezpečnosti připraveny jen částečně. Zatímco v privátním sektoru se za připravené považuje zhruba 14 % dotázaných (v závislosti na jednotlivých odvětvích), ve veřejné správě není nikdo, kdo by si byl svou úrovní zabezpečení jistý. To souvisí mimo jiné s tím, jaké mají organizace dodavatele IT: ti, kteří spolupracují s certifikovanými partnery, jsou v průměru pro splnění požadavků NIS2 a nZKB lépe vybaveni. „Z výsledků průzkumu vidíme, že velká část společností čeká na jasnou legislativu nZKB. Z mého pohledu je tento přístup krátkozraký. Řádné zabezpečení IT infrastruktury by nemělo vycházet pouze z požadavků směrnice NIS2 nebo nZKB, ale mělo by být samozřejmostí. Firmy, které zabezpečení nebudou řešit včas, mohou brzy narazit. Na trhu je nedostatek kvalifikovaných odborníků na oblast kybernetické bezpečnosti, a i lídři v oboru tak mají kapacitu pouze na 10 až 15 nových klientů ročně. Směrnice NIS2 dopadne na nejméně 6 000 českých společností a je tak na místě si svého experta na bezpečnost najít co nejdříve,“ říká IT security expert ze společnosti Alef Nula Michal Zedníček.
NÚKIB nabízí podporu
Průzkum také ukázal, že IT experti odpovědní za nZKB a NIS2 opatření cítí více podpory od NÚKIB než od svého managementu. NÚKIB společnosti podporuje stejně bez ohledu na jejich velikostí, ale liší se podle režimu, pod který společnosti spadají. Společnosti, které svůj režim neznají, mají podpory nejméně. To může souviset s nedostatkem zájmu o téma. Společnosti, které svůj režim znají, hodnotí podporu ze strany NÚKIB jako silnou nebo dostatečnou.
Nepodceňujte nebezpečí ani rozpočet
Průzkum se dále zaměřil na rozpočet společností pro implementaci směrnice NIS2. Zjistilo se, že pouze 40 % dotázaných společností svůj rozpočet zná. Nejlépe připravené jsou firmy v nižším režimu. Rozpočet stanovila nebo schválila více než polovina (58,6 %) z nich. Většina (80 %) dotázaných společností bude na přípravu na NIS2 potřebovat méně než 10 milionů korun. Tento údaj potvrzuje, že NIS2 (a potažmo kybernetická bezpečnost) není v rozpočtu extrémně drahou položkou. „Kybernetická bezpečnost je klíčovým obchodním rozhodnutím pro každou firmu, a to z několika důvodů. Když dojde k útoku na IT infrastrukturu, může to způsobit výpadky výroby, ztrátu dat, nebo dokonce odcizení citlivých informací. Tyto incidenty mohou mít dlouhodobý dopad na provozuschopnost firmy, její pověst a ztrátu důvěry zákazníků. Investice do bezpečnostních opatření mohou riziko těchto nepříjemných situací minimalizovat,“ říká ředitel společnosti KPMG pro oblast kyberbezpečnosti Tomáš Kudělka. „Nehledě na povinnost, kterou směrnice NIS2 přináší, je ochrana před kyberútoky z pohledu bezpečnosti společností klíčová a rozhodně by se neměla podceňovat. A je jedno, zda do ní organizace spadá, či nikoliv. Každá firma by si totiž měla projít analýzou aktiv a potenciálních rizik, aby věděla, jakým způsobem má vytvořit bezpečnostní strategii a plán zvládání rizik. Tím zjistí, do čeho má v případě zabezpečení prioritně investovat. Důležité je také dál prioritizovat implementaci opatření mitigujících vysokou míru rizika ideálně s nižším TCO (tzn. celkovými náklady na vlastnictví), což pomáhá rychle zvyšovat kybernetickou odolnost a zároveň snáze obhájit potřebný rozpočet,“ doplňuje Petr Kocmich, bezpečnostní analytik společnosti Soitron.
Část nákladů mohou pokrýt dotace z EU
Pouze 41 % dotázaných firem plánuje využít možnost financování z Evropské unie. Zatímco ve veřejné správě uvažuje o dotacích většina respondentů (75 %), v privátním sektoru je to pouhá třetina (35 %). Průzkum ukázal, že většina respondentů o možnosti čerpání dotací z EU nevěděla. „Firmy by měly vědět, že existuje možnost žádat o finanční podporu. Tato podpora není omezena pouze na veřejné subjekty, ale vztahuje se také na komerční společnosti. Je důležité sledovat aktuální nabídky dotačních programů, protože jich stále přibývá. Správná strategie a včasná žádost o dotaci mohou firmám pomoci lépe se připravit na nové výzvy, které směrnice NIS2 přináší,“ říká obchodní ředitel poradenské společnosti enovation Martin Bednář. /HK/