Přínosy směrnice NIS2 zhodnotil Jan Pich, Cyber Security Manager EY, v magazínu E15.
S rostoucí digitalizací se zvyšuje počet potenciálních obětí kybernetických útoků, což představuje výzvu. Situace, kdy vlivem kybernetického útoku dojde k vyřazení základních služeb, na které jsme v každodenním životě zvyklí, jsou reálnější než kdykoliv dříve. Společná kybernetická obrana a ochrana kritických služeb v rámci EU je prioritou nově aktualizované směrnice NIS2.
1. V čem se liší nová směrnice NIS2 od předchozí směrnice NIS1?
Můžeme mluvit o evoluci kybernetické bezpečnosti v EU. Aktualizovaná směrnice NIS2 rozšiřuje a aktualizuje předchozí směrnici NIS1, aby lépe odrážela výzvy související s kybernetickou bezpečností v dnešním rychle se měnícím digitálním prostředí. NIS2 pokrývá širší počet regulovaných subjektů, sjednocuje požadavky na kybernetickou bezpečnost bez ohledu na typ společnosti či zemi, ve které působí a zavádí sankce. Kromě toho, NIS2 také zdůrazňuje důležitost mezinárodní spolupráce v oblasti kybernetické bezpečnosti.
2. Na která odvětví a typy subjektů se směrnice NIS2 vztahuje?
Kromě sektorů kritické infrastruktury, telekomunikací a státních institucí, nově směrnice také pokrývá střední a velké podniky působící ve výrobě potravin, odpadovém hospodářství, zdravotnictví, poštovních a kurýrních službách, finančních službách a dalších odvětvích. Tato změna reflektuje skutečnost, že kybernetická bezpečnost je důležitá pro široké spektrum odvětví, které využíváme v každodenním životě, nejen pro ty nejvíce kritické.
3. Dá se odhadnout, kolika firem v Česku se bude týkat? Můžete uvést příklady (eshopy....)?
Odhaduje se, že půjde o více než 6000 nových subjektů. Příkladem mohou být velké e-shopy, které mají významný dopad na trh, stejně tak i zdravotnické organizace, kde je zabezpečení citlivých dat pacientů zásadní, nebo velkých výrobních společností, které se stále více spoléhají na digitalizované a propojené systémy. Také může zasáhnout městské správy, které provozují kritické infrastruktury, jako je dodávka vody nebo dopravní systémy. Stejné podmínky pak budou například i pro kancelář prezidenta.
4. Jaká jsou očekávání od směrnice NIS2 v oblasti zlepšení kybernetické bezpečnosti a jak by mohla směrnice NIS2 přispět ke snížení rizika kybernetických útoků v EU?
NIS2 vítám jako správný krok ze strany EU. Smyslem je klást větší důraz na zajištění kybernetické bezpečnosti ze strany organizací ve všech odvětvích, která jsou kritická pro ekonomiku a společnost. NIS2 představuje proaktivní přístup, který nám umožní lépe se bránit proti kybernetickým útokům, aby naše základní služby, jako jsou elektronické platby, dodávky elektřiny a teplé vody nebo třeba městská doprava, nebyly narušeny aktivitami kyberzločinců.
5. Jak se mohou firmy se směrnicí NIS2 nejlépe vypořádat? Stačí to tzv. hodit jen na stávající IT oddělení? Nebo je lepší využít outsourcing?
Přístup a myšlení firem se bude muset, dle našeho názoru, v souvislosti se zaváděním NIS2 změnit, a to zejména u menších subjektů, kde nebude možné sestavit plnohodnotný tým odborníků na všechny oblasti kybernetické bezpečnosti – protože zkrátka nebudou k dispozici.
Nedostatek odborníků na kybernetickou bezpečnost je dlouhodobé téma, očekáváme, že rozšíření rozsahu regulovaných subjektů, ve spojitosti s dalšími regulacemi z balíčku kybernetické odolnosti EU, situaci na trhu spíše zhorší.
Outsourcing služeb je jedna z cest, další možnosti vidíme například v automatizaci a optimalizaci řízení kybernetické bezpečnosti.