Směrnice NIS2 se zaměřuje na „základní“ a „důležité“ subjekty, které musí: Zavést opatření proti kybernetickým hrozbám, povinně hlásit incidenty, řešit bezpečnost dodavatelského řetězce a kontrolovat a aktualizovat software.
Podle průzkumu poradenské skupiny Moore Czech Republic 72 procent tuzemských manažerů o směrnici NIS2 vůbec neslyšelo. Přestože nový zákon o kybernetické bezpečnosti by měl vstoupit v platnost v polovině roku 2025, většina organizací tápe a neví, co dělat.
„Firmy si často myslí, že se jich to netýká, dokud není pozdě. Neinformovanost je největší hrozbou,“ říká Michal Baudyš, vedoucí strategie veřejného sektoru společnosti Forscope. A i další odborníci varují, že pokud se firmy nezačnou připravovat, hrozí jim nejen vysoké pokuty, ale i reálná kybernetická rizika.
EU zaostává, firmy tápou
Situace není kritická jen v Česku. Z celé EU dokázalo směrnici plně implementovat pouze sedm z 27 států. Výsledkem je chaos a právní nejistota. Mezitím útočníci nespí. Firmy, které nebudou připravené, se stanou snadným terčem hackerů.
Rostoucí počet útoků na organizace, které podcenily svou bezpečnostní strategii, je patrný. NIS2 přináší řešení, ale firmy ho musí aktivně přijmout. Podle průzkumu Moore Czech Republic ti, kdo už o směrnici vědí, hodnotí její cíle relativně pozitivně.
„Důležitým preventivním aspektem pro celé odvětví je sdílení informací o kybernetických incidentech. Současně by firmy měly poskytnout maximální podporu specializovaným týmům. NIS2 vytváří pro tyto aktivity stěžejní rámec,“ vysvětluje Radek Dvořáček, manažer společnosti Moore Technology CZ.
Psali jsme
Právní a daňové novinky pro rok 2024 (1): Přísnější pravidla pro kybernetickou bezpečnost
Útok přijde, otázkou je kdy
NIS2 sice nezakazuje druhotný software, ale klade důraz na jeho bezpečnost. Bezpečnostní experti varují: neověřené softwarové licence mohou znamenat obrovská rizika. „Pouze důvěryhodní dodavatelé mohou zajistit plnou legálnost a bezpečnost druhotného softwaru. Nesprávná volba může znamenat katastrofu,“ zdůrazňuje Michal Baudyš.
Směrnice NIS2 je realitou, které se firmy zkrátka nevyhnou. Čas na přípravu se krátí a hrozba obřích problémů je blíž, než si mnozí myslí. Bez rychlé reakce a důsledného plánování se může Česká republika stát rájem kybernetických zločinců.
„Není otázkou, zda útok přijde, ale kdy. Firmy musí jednat okamžitě,“ uzavírá Radek Dvořáček, bezpečnostní specialista Moore Czech Republic. Budou firmy i státní instituce čekat na první velký úder, nebo konečně začnou jednat?
Takže firmám naložíme další byrokratickou zátěž, budou muset posílat další nesmyslné hlášeníčko o česi komusi, nejlépe pravidelně a v naprosto nejasně definovaném formátu na který není nikde přesný vzor, ale zato nově nabraní úředníčci naprosto přesně ví, že to co jim pošlu je blbě, takže si na to budu muset najmout a platit dalšího budižkničemu jako je zmíněný Radek Dvořáček, „bezpečnostní specialista“. Už vidím jak se hackeři začínají klepat strachy. 🙂 Tak nezbývá než doufat, že po zpracování všech těch hlášeníček a byrokratických předpisů na všechny možné a nemožné pitomosti mi ještě zbude čas a peníze na vlastní výrobu…
NIS2 říká jen buďte připraveni, ale nedefinuje jak. Hlaste úniky dat. Nedefinuje kam, jak, a co když o nich firma neví.
Opatření úplně k ničemu, vlastně stačí říct, neevidujeme žádný únik dat a nařízení je tím splněno.