Od 1. listopadu začne pro 6 000 českých firem závod s časem. Většina z nich přitom není připravena. Podle průzkumu společnosti Atos má 90 procent firem nevyhovující bezpečnostní dokumentaci, procesy i personální zajištění. Bez těchto tří pilířů pak nelze splnit požadavky nové legislativy v oblasti kybernetické ochrany.
Podobně jako u BOZP navíc za nedostatky neponese odpovědnost jen organizace, ale i konkrétní osoby – vedoucí IT či bezpečnostní manažeři, kterým hrozí vysoké pokuty i trestněprávní postih.
„Většina firem si pod zákonem o kyberbezpečnosti představí nové investice do technologií. Prvním krokem ale není nákup zabezpečení, ale revize bezpečnostní dokumentace. Jak chcete něco implementovat, když nevíte, co vlastně potřebujete?“ říká Tomáš Hlavsa, expert na kyberbezpečnost ve společnosti Atos. Ta se mimo jiné zabývá nezávislými audity, které pomáhají odhalit připravenost na příchod nové legislativy.
„Oslovili jsme vybrané firmy ze skupiny přibližně 6000 subjektů, na které nově dopadne aktualizovaný zákon o kyberbezpečnosti. Z našich zjištění vyplývá, že velká část firem má právě zásadní nedostatky v oblasti dokumentace, navazujících procesů i personálního zajištění,“ popisuje Hlavsa.
Nedostatečná dokumentace a pokuty za nedbalost
Pod novou kyberbezpečnostní normu spadne zhruba 6 000 firem. Každá z nich musí splnit řadu povinností. K tomu potřebují bezpečnostní dokumentaci, která definuje například vnitřní procesy, politiky, analýzy rizik nebo role zaměstnanců. Problémem je, že dokumentace přirozeně stárne. „U jednoho klienta byla čtyři roky stará dokumentace použitelná z hlediska nové legislativy z pouhých cca 25 procent,“ poukazuje na riziko Tomáš Hlavsa. „I v případech, kdy se stáří materiálů pohybuje nejvýše kolem dvou let, je přibližně 80procentní shoda. Přepracovat se musí terminologie, paragrafy, přibyly nové povinnosti,“ vysvětluje.
Firmy podle Tomáše Hlavsy, vedle shody dokumentace a návaznosti procesů, nebezpečně podceňují také oblast lidských zdrojů. Státu je také potřeba nahlásit personální obsazení klíčových rolí odborníky, včetně kontaktních údajů. Výběr lidí rozhodně nemá být jen formální. Zákon totiž zavádí také princip řádného hospodáře. Podobně jako v případě BOZP za nedostatky už neponese odpovědnost jen organizace, ale také konkrétní osoby. Statutárním orgánům, vedoucím IT, bezpečnostním manažerům nebo odpovědným pracovníkům budou hrozit jak vysoké peněžní sankce, tak trestněprávní postih.
Ačkoliv k zákonu ještě nebylo schváleno několik prováděcích vyhlášek s podrobnostmi, celkový rámec je podle expertů jasný a není třeba otálet s přípravou. Ideálně do konce roku by si měla každá dotčená společnost udělat alespoň revizi bezpečnostní dokumentace. Firmy se tak vyhnou překvapení, kolik práce s implementací nové legislativy před sebou mají. Vzorem jim mohou být firmy z automobilového průmyslu či tradičně banky. Ty jsou v oblastech procesů a lidí na příchod NIS2 připraveny v podstatě již nyní.
„Začíná závod s časem. Kyberzákon od listopadu zahrne tisíce firem a organizací veřejné správy. Kdo se dosud spoléhal jen na antivir a firewall, měl by se co nejdříve podívat do šanonu s interní dokumentací – právě tam totiž začíná skutečná kyberbezpečnost,“ uzavírá.