NIS2 klepe na dveře a připraveno je minimum českých firem

České firmy nejsou připraveny na evropskou směrnici o kybernetické bezpečnosti NIS2. Průzkum společnosti EY Česká republika odhalil, že aktuálně by její požadavky splnily jen 2 % společností. Už letos v říjnu přitom končí lhůta pro transpozici směrnice do českého právního řádu a očekává se, že nejpozději na konci příštího roku se už firmy novými pravidly budou muset řídit.

Zcela konkrétní datum platnosti všech novelizovaných povinností pro regulované subjekty není prozatím známo. Bude se odvíjet od novely Zákona o kybernetické bezpečnosti, kterou Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) předložil vládě koncem ledna. Na základě zkušeností se zaváděním obdobných směrnic do praxe lze očekávat zhruba roční lhůtu.

Zjištění průzkumu společnosti EY Česká republika, do kterého se zapojily společnosti z celkem 22 odvětví, od státní správy, přes zdravotnictví až po ICT, nejsou z pohledu připravenosti nijak růžové. Jak už bylo zmíněno, aktuálně splňuje podmínky nové směrnice minimum společností a situaci dále zhoršuje nízká informovanost firem.  

„V tomto ohledu sledujeme znepokojivý jev. Téměř polovina nově regulovaných společností uvedla, že nemají dostatečné povědomí o problematice NIS2,“ říká Jan Pich, Cyber Security Manager ve společnosti EY Česká republika.  

„Zhruba polovina respondentů, jenž uvedli, že nejsou dostatečně informováni, zastává vrcholné řídící pozice, nebo jsou členy představenstva. Podle NIS2 přitom právě vedení společnosti nese přímou odpovědnost za její zavedení,“ dodává.

Na základě dat z průzkumu společnosti EY Česká republika tak lze odhadovat, že firem, kterých se novela dotkne a zároveň se na ní nijak nepřipravují, je v Česku více než jeden a půl tisíce. Směrnice NIS2 klade důraz na posílení kybernetické bezpečnosti v Evropě. Implementace požadavků NIS2 není jen otázkou vyhnutí se sankcím, ale i ochrany reputace a důvěryhodnosti firem.  

„Nesplnění požadavků NIS2 může mít pro firmu dalekosáhlé důsledky, a to i nad rámec finančních sankcí. Poškozená reputace a ztráta důvěry ze strany zákazníků, partnerů a investorů může být pro firmu likvidační,“ upozorňuje Jan Pich.

Personál a peníze

Víc jak polovina respondentů průzkumu uvedla, že největší výzvy spatřuje v nedostatečných personálních kapacitách a ve výši nákladů spojených s implementací požadavků směrnice NIS2. Počet subjektů, které budou NIS2 nově regulovány, se v Česku odhaduje na víc než 6 tisíc. „Lze kvůli tomu očekávat prohloubení už tak výrazného nedostatku odborníků na kybernetickou bezpečnost na českém pracovním trhu,“ říká Jan Pich.

Cestou ven jsou tak pro firmy inovace a schopnost flexibilně reagovat na změny. IT a bezpečnost už nelze vnímat jen jako čistě interní služby. Pro menší subjekty, jako jsou obce, nemocnice nebo malé firmy, může být náročné vybudovat a udržovat vlastní robustní systém kybernetické obrany. Řešením pro ně může být využití sdílených služeb.  

Sdílené služby nabízí centralizované řešení pro kybernetickou bezpečnost, které sdílí více subjektů. To umožňuje sdílet náklady na odborníky, technologie a infrastrukturu. Takové služby představují efektivní a dostupný způsob, jak posílit kybernetickou bezpečnost i pro menší subjekty. Trend se rozvíjí i v jiných oblastech, jako je sdílení aut, kol nebo takzvaných „plovoucích úředníků“. 

Využití sdílených služeb v kybernetické bezpečnosti je cestou k efektivnější ochraně v digitální éře.

Další cestu nabízí investice do řešení založených na umělé inteligenci (AI). Nástroje AI dokáží automatizovat mnoho úkolů v oblasti kybernetické bezpečnosti, čímž se sníží závislost na lidských pracovnících a zároveň se zvýší efektivita a rychlost reakce na hrozby.

Průzkum společnosti EY Česká republika dále ukazuje, že společnosti, které již podléhají jiným regulačním normám, přistupují k NIS2 s větší systematičností a pragmatismem. „Tyto firmy disponují zkušenostmi s implementací bezpečnostních opatření a vědí, jak správně postupovat, včetně plánování finančních aspektů,“ vysvětluje Jan Pich. 

Nově regulované společnosti tak očekávají navýšení nákladů na kybernetickou bezpečnost až o 40 %. Již regulované subjekty počítají s navýšením nákladů zhruba o 15 % a těží z už dřívějších investic do kybernetické bezpečnosti, díky kterým pro ně nebude implementace NIS2 tak nákladná.