Revoluční je rozšíření počtu subjektů, na něž bezpečnostní regulace dopadne. Další poměrně převratnou věcí je přísnost sankcí, které mají být strašákem pro management, jenž nese za kyberbezpečnost odpovědnost. Zásadní novinkou je i požadavek použití evropského systému certifikace produktů kybernetické bezpečnosti.
Dotčené subjekty budou povinny zpracovávat důkladné analýzy rizik a hlídat kyberbezpečnost i ve svých dodavatelských řetězcích. Vyžadováno bude pravidelné školení zaměstnanců, kteří jsou často tím nejslabším článkem bezpečnosti. Další akcentovanou oblastí je hlášení incidentů a sdílení bezpečnostního reportingu na podnikové, národní i evropské úrovni. To v současnosti některé společnosti vůbec neřeší.
NIS2 dopadne v různé míře na téměř všechna odvětví ekonomiky. Od energetiky, finančnictví a dopravy přes výrobu aut i elektroniky, chemický průmysl a odpadové hospodářství až po potravinářství, zdravotnictví a svět internetu. Veřejná správa bude muset posílit kyberbezpečnost i na komunální úrovni.
Ze všech těchto důvodů je pravděpodobné, že NIS2 bude změna rozsahem srovnatelná s nařízením GDPR (General Data Protection Regulation), kterým Evropská unie plošně zpřísnila ochranu osobních údajů. Proto je lepší se na NIS2 připravovat už nyní, i když začne v Česku platit až v roce 2024.
Vyšší úroveň kyberbezpečnosti samozřejmě něco stojí. Návrh NIS2 zmiňoval odhad, že subjekty, na které regulace dopadne, budou potřebovat zvýšit své současné výdaje na bezpečnost ICT přibližně o 12 až 22 procent. Současně ale návrh uváděl, že revize původní směrnice NIS1 může vést ke snížení nákladů na řešení kyberbezpečnostních incidentů o 11,3 miliardy eur. Investice do kyberbezpečnosti se tedy vyplatí.
V Česku navíc máme opravdu co zlepšovat. Namátkou připomeňme úspěšné hackerské útoky například na ministerstvo zahraničí, nemocnice či Ředitelství silnic a dálnic. Zranitelnými se ukázala být i řada soukromých firem, ty však incidenty spíše nezveřejňují, protože nechtějí děsit zákazníky, investory a obchodní partnery.
Rozšířené podceňování rizik je ale patrné i ze zápisů z jednání představenstev malých i velkých podniků. V nich dnes najdeme jen minimum záznamů o tom, že by se diskutovala kybernetická bezpečnost, ačkoli její význam neustále roste. Za neplnění ustanovení NIS2 budou hrozit pokuty až do výše deseti milionů eur nebo dvou procent z celosvětového obratu firmy.
Podniky i úřady musejí předně zvážit, zda soulad s NIS2 zkusí zajistit vlastními silami, nebo (některé) úkoly outsourcují. První cesta si často vyžádá posílení a přebudování IT a bezpečnostního oddělení. Obvyklé obsazení jednoho či dvou specialistů na pokrytí nových požadavků nebude stačit. Sehnat další odborníky bude ale těžké, protože už dnes je jich nedostatek.
Spolu s NIS2 navíc na část firem dopadnou i nařízení DSA (Akt o digitálních službách) a DMA (Akt o digitálních trzích). DSA zpřísní pravidla pro online reklamu a odpovědnost za odstraňování nezákonného a škodlivého (dezinformace) obsahu na internetu. DMA zvýší dohled nad velkými hráči, hlavně vyhledávači, sociálními médii, online tržišti, cloudy a operačními systémy. Těm začnou hrozit citelné pokuty, pokud zneužijí svého dominantního postavení. V krajním případě mohou být nuceně rozděleny.
Tomáš Kudělka, ředitel technologického týmu KPMG
•
