Nový zákon o kybernetické bezpečnosti podle evropské směrnice NIS2 dopadá v Česku i na Slovensku na tisíce firem napříč obory. Přináší nové povinnosti, kontrolní mechanismy a také zásadní změnu v přístupu k IT bezpečnosti. Auditor Jaromír Tvrzník v rozhovoru pro pořad Audit na platformě FocusOn vysvětluje dopad nové legislativy na firmy, kolik je příprava bude stát a proč by se manažeři měli přestat tvářit, že kyberbezpečnost je jen „černá díra na peníze“.

Transpozice směrnice NIS2 výrazně rozšiřuje okruh firem, které musí splnit specifické požadavky na kybernetickou bezpečnost. Zatímco starý zákon o kyberbezpečnosti platil od roku 2014 a dotýkal se jen stovek subjektů, dnes jde o zcela jiný rozsah: od státní správy přes automobilky, zemědělské podniky, bioplynové stanice až po strojírenské závody a další tisíce organizací.

Podle Jaromíra Tvrzníka tkví hlavní změna právě v rozsahu: „Dříve dopadal zákon jen na malý okruh strategických podniků. Nově se ocitne pod regulací přibližně šest tisíc firem. Dopad bude mnohem širší a výraznější než kdykoli předtím.“

Nejde však jen o počet subjektů. Nový zákon o kyberbezpečnosti se snaží reagovat na současné hrozby, včetně ransomwarových útoků či zneužití umělé inteligence. Tvrzník připomíná, že dnešní rizika jsou zcela odlišná od roku 2014: „Kyberbezpečnost je dnes jedno z nejdůležitějších témat. A už není otázka, jestli útok přijde, ale kdy.“

Co se mění: nové role, odpovědnosti a tlak na vedení

NIS2 přináší dva režimy: nižší a vyšší. Zatímco v nižším režimu zodpovídá za celý systém primárně vedení firmy a technické nastavení obvykle zvládne interní nebo externí IT, vyšší režim je výrazně přísnější.

„Ve vyšším režimu je nutné jmenovat architekta, manažera a auditora kybernetické bezpečnosti, a k tomu další garanční role. Tyto odpovědnosti už nejde obejít nebo spojit pod jednu osobu – například auditor nemůže být zároveň manažer kyberbezpečnosti,“ vysvětluje Tvrzník.

S tím roste i tlak na manažery, kteří se nově stávají přímo odpovědnými za úroveň zabezpečení. Kyberbezpečnost tak naráz přestává být „údržba počítačů“ a stává se součástí strategického řízení firem.

Největší slabiny firem: nezájem vedení a pohodlnost IT

I když mnoho podniků investovalo do ISO norem jako kvalita, environment či BOZP, IT bezpečnost často zůstávala na okraji. A to se nyní obrací proti nim.

Tvrzník upozorňuje, že jeho nejčastější zkušeností je nedostatek zájmu vedení:
„Pořád se setkávám s názorem, že IT je černá díra na peníze. Jenže problém se ukáže přesně tehdy, když IT přestane fungovat a stojí celá výroba.“

K tomu se přidává i laxnost některých IT pracovníků: „IT si často práci ulehčuje a vytváří si vlastní cestičky. Vynechají dvoufázové ověřování, nepoužívají VPN, nehlídají přístupy. A přesně to pak útočník zneužije.“

Výsledkem jsou zbytečné incidenty, které mohou stát stovky tisíc až miliony korun – jen na mzdách lidí, kteří kvůli výpadku „přešlapují na místě“.

Pořadem provází Pavol Plejvák ze společnosti DQS.

Celý rozhovor si můžete pustit jako video nebo podcast: