Tuzemské společnosti budou muset začátkem příštího roku implementovat robustnější kybernetická bezpečnostní opatření, včetně pravidelného hodnocení rizik, zavedení preventivních a detekčních mechanismů a plánů pro reakci na kyberútoky. Klíčové je například i podrobné sledování bezpečnosti partnerů a dodavatelů.
Nová evropská směrnice rovněž rozšiřuje působnost kybernetických opatření na větší počet odvětví a zahrnuje mimo jiné velké i střední podniky v kritických sektorech, jako je energetika, doprava, zdravotnictví, finance a digitální infrastruktura.
Přestože nejde o žádné nové technologie či opatření, které by už většina velkých podniků přirozeně nezavedla, zejména středně velké firmy s instalací finančně poměrně náročných nástrojů otálejí.
Psali jsme
Právní a daňové novinky pro rok 2024 (1): Přísnější pravidla pro kybernetickou bezpečnost
Většina už požadavky plní
Mnoho velkých českých společností již většinu požadavků směrnice NIS2 splňuje, a to 70 procent ze zhruba šesti tisíc dotčených firem – často díky dřívějším investicím do kybernetické bezpečnosti a dodržování už platných standardů. Naopak pro malé a střední podniky jde o novinku, bezpečnostní opatření pro ně podle poradenské společnosti RSM dosud nebyla povinná.
Podle expertů by měli se zaváděním všech opatření začít co nejdříve, ideálně ihned, aby lednový termín stihly. Podniky také musejí počítat s náklady v řádu stovek tisíc korun, přičemž vedle jednorázových investic budou část peněz – typicky na údržbu systému – platit trvale.
„Velké české firmy vědí moc dobře, že na ně NIS2 začátkem roku dopadne. Ve skutečnosti dokonce již většinu svých povinností přirozeně plní, ostatně nový kybernetický zákon je postaven na mezinárodně uznávaných a již platných standardech. Implementace nových nástrojů je ale náročná na čas i finance,“ uvedla Zuzana Kubíková z poradenské společnosti RSM.
„Kolem dvou třetin společností, kteří k nám přijdou s žádostí o poradenství ohledně NIS2, nevnímá celou legislativu zpočátku jako nic víc než další zbytečnou regulaci a povinnosti. Rychle ale pochopí, že zčásti už mají splněno, a vidí pak NIS2 postupně spíše jako příležitost,“ dodala Kubíková.
Musí se to brát vážně
Mnoho větších českých firem přitom už má část svých povinností splněnou. Díky implementaci národních předpisů, jako je předchozí Zákon o kybernetické bezpečnosti, mají společnosti podle Kubínové solidní základ pro plnění nových evropských standardů.
Firmy v kritických sektorech, jako jsou energetika, finance nebo zdravotnictví, uplatňují bezpečnostní politiky a postupy, které odpovídají některým požadavkům NIS2 navíc dlouhodobě. „Je nutné ale dodat, že není důvod sedět se založenýma rukama. Současný zákon o kyberbezpečnosti je totiž, co se týče požadavků NIS2, zanedbatelný. Nově se navíc týká mnoha firem,“ upozornila Kubíková.
Podle odborníků z poradenské společnosti RSM by měly velmi zbystřit společnosti, které spadají do takzvaného nižšího režimu povinností. Ten se týká firem, které do NIS2 budou spadat nově právě od příštího roku.
„Velkou část povinností sice budou mít stejné, jako firmy ve vyšším režimu, odpadají jim ale takové záležitosti, jako je audit kybernetické bezpečnosti, řízení rizik a vyhodnocování kybernetických bezpečnostních událostí,“ sdělila Kubíková. Dodala, že největší výzva a zároveň příležitost pro české firmy leží ve zlepšení bezpečnosti a ochraně dat jejich klientů.
„Asi největší mezerou, kterou musí v tomto české firmy zacelit, je, aby braly kyberbezpečnost jednoduše vážně,“ zdůraznila Kubíková, podle níž se vedoucí pracovníci nesmí uchlácholit představou, že na nějakou hrozbu stejně nedojde.
Reálná hrozba pro firmy
Že se benevolentní přístup nemusí vyplatit, dokládají stále častější a nebezpečnější kybernetických útoků doma i ve světě. „Hlavním cílem kyberzločinců jsou firmy bez ohledu na jejich velikost a obor podnikání. Tyto útoky mohou způsobit rozsáhlé škody s dlouhodobými následky,“ sdělila společnost Kaspersky.
Příkladem může být společnost Johnson Controls, významný hráč v odvětví stavebních technologií, která čelila rozsáhlému ransomwarovému útoku spáchanému skupinou Dark Angels. Útočníci tvrdili, že ukradli 27 terabytů citlivých dat, a požadovali výkupné 51 milionů dolarů. Útok měl za následek vážné narušení systémů společnosti a škodu ve výši více než 27 milionů dolarů.
Počet a rozsah kyberútoků se zvýšil po ruské agresi na Ukrajině. Vojenské zpravodajství a Bezpečnostní informační služba ve spolupráci s americkou Agenturou pro kybernetickou a infrastrukturní bezpečnost, FBI, Národní bezpečností agenturou a dalšími mezinárodními partnery nedávno vydaly upozornění na kybernetické operace spojené s ruskou Hlavní správou rozvědky.
„Jednotka 29155 je přinejmenším od roku 2020 zodpovědná za operace v počítačových sítích proti globálním cílům za účelem špionáže, sabotáže a poškození reputace,“ upozornil Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
Ruská jednotka 29155 také vedla operace v počítačových sítích proti mnoha členským státům NATO a dalším zemím v Evropě, Latinské Americe a Střední Asii.
„Činnost skupiny zahrnuje kompromitaci webových stránek, skenování infrastruktury či exfiltraci a únik dat, která následně prodávají nebo veřejně publikují. Od počátku roku 2022 se aktér zaměřuje především na narušování mezinárodního úsilí poskytování pomoci Ukrajině,“ sdělil NÚKIB.
