V rozhovoru s Lucií Jahnovou, přední odbornicí na kybernetickou bezpečnost a risk management, jsme se ponořili do klíčových otázek spojených s evropskou směrnicí NIS2 a připravovaným zákonem o kybernetické bezpečnosti (ZoKB). Řešíme aktuální stav legislativy a připravenost firem, stále vyšší odpovědnost vrcholového vedení a nutnost užší spolupráce s IT oddělením, ale i dilema, zda outsourcovat bezpečnostní služby. Získejte praktické rady a podněty, jak zvládnout nové výzvy a zajistit, že kybernetická bezpečnost nebude jen povinností, ale i přidanou hodnotou pro váš byznys.
Pro firmy, které dosud nezačaly – nyní je čas k přípravám
Jaký je rozdíl mezi NIS2 a připravovaným zákonem o kybernetické bezpečnosti (ZoKB)?
NIS2 představuje bezpečnostní rámec, který má zajistit jednotný přístup ke kybernetické bezpečnosti napříč celou Evropskou unií. Tento rámec je již platný a od října 2024 také účinný, což znamená, že jednotlivé členské státy mají povinnost jej implementovat do svých právních systémů.
Ačkoli je tedy NIS2 již účinná na úrovni EU, specifické povinnosti pro české subjekty budou definovány až v novém zákoně o kybernetické bezpečnosti (ZoKB). Aktuálně je zákon ve fázi připomínkování a schvalování, přičemž jeho účinnost se očekává od 1. července 2025.
V jaké fázi by měly být aktuálně organizace, kterých se změny dotknou?
Obecně lze říci, že organizace, kterých se NIS2 týká, by měly brzy zahájit přípravné kroky, jako je plánování, analýza rizik a školení zaměstnanců, a využít přechodného období 12 měsíců ke stabilizaci nových procesů. To jim umožní postupně implementovat změny tak, aby si na nové systémy zvykli uživatelé, administrátoři i celý provozní tým.
Implementační lhůta 12 měsíců se může zdát dlouhá, avšak např. ve veřejném sektoru je proces často komplikován zákonem o veřejných zakázkách, který může výrazně zpomalit celý průběh. I organizace, které nejsou vázány veřejnými zakázkami, se mohou dostat do časové tísně, protože praxe ukazuje, že plně funkční bezpečnostní systém vyžaduje implementační fázi trvající jeden a půl až dva roky.
Pro firmy, které dosud nezačaly, je nyní klíčové využít zbývající půlrok před účinností zákona k přípravám. A nemyslím tím okamžité nakupování bezpečnostních řešení, ale především vytvoření plánu, který jasně definuje jednotlivé kroky implementace a zajištění dlouhodobé funkčnosti celého systému.
Úspěch závisí na vedení, které chápe kybernetickou bezpečnost nejen jako povinnost
Jaké konkrétní povinnosti přináší NIS2 a připravovaný ZoKB pro členy vrcholového vedení?
Na vrcholové vedení firem bude kladena důraznější odpovědnost za zajištění bezpečnosti. Vedoucí pracovníci musí rozumět stavu kybernetické bezpečnosti své organizace, být obeznámeni s legislativními povinnostmi kompetencemi z nich vyplývajících, vč. zajištění dostatku zdrojů na potřebná opatření.
Kromě strategického plánování by měli členové vedení také aktivně přispívat k analýze rizik a k postupnému snižování jejich dopadů. Důležité je pochopit nejen rizika, ale také příležitosti, které může budování systému kybernetické bezpečnosti organizaci přinést v jejím rozvoji.
Plánování, a hlavně POSTUPNÁ implementace jsou klíčové, aby se předešlo problémům s kapacitami a odporem uvnitř organizace. Úspěch závisí na vedení, které chápe kybernetickou bezpečnost nejen jako povinnost, ale jako nezbytný krok k ochraně dat a kontinuity podnikání.
Neměla by kybernetická bezpečnost být zájmem především IT oddělení?
Odpovědnost za kybernetickou bezpečnost byla tradičně přenášena na IT oddělení, protože kybernetická bezpečnost je často vnímána jako technická záležitost. Nicméně podle současných přístupů by měla být bezpečnost oddělena od běžného IT provozu. IT oddělení nastavuje systémy, ale odpovědnost za jejich bezpečnost a ověřování plnění bezpečnostních standardů by měla být v kompetenci manažera kybernetické bezpečnosti, který nebude součástí toho provozu.
Ten by měl sloužit jako most mezi technickým jazykem IT a vedením organizace. Jeho úkolem je prezentovat informace o bezpečnostních rizicích a opatřeních způsobem, kterému vedení rozumí, aby mohlo přijímat informovaná rozhodnutí.
Pokud firma nemá interního manažera kybernetické bezpečnosti, může tuto roli delegovat na externího specialistu. V případě dobře nastavených bezpečnostních procesů není nutné, aby byl tento odborník přítomen na plný úvazek – pravidelné konzultace jednou týdně či jednou za čtrnáct dní mohou být dostatečné, pokud se začne v čas nebo je systém pouze rozvíjen.
Pokuty za nedodržení povinností nese sama organizace, nikoli dodavatel služeb
Pokud jako organizace externě spolupracuji s dodavatelem bezpečnostních služeb, kdo z nás nese odpovědnost vzhledem k NIS2?
ZoKB a NIS2 jednoznačně stanovují, že odpovědnost za kybernetickou bezpečnost nese vrcholové vedení organizace, bez ohledu na to, zda si některé služby zajistí externě. Pokuty za nedodržení povinností podle NIS2 vždy uděluje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) přímo organizaci, nikoli dodavateli. Organizace však může následně vymáhat náhradu škody, pokud je to ve smluvní dokumentaci s dodavatelem správně ošetřeno. Vhodný výběr, a především průběžná kontrola dodavatelů bezpečnostních služeb je proto nezbytná.
Jak si ověřit, že dodavatelé splňují bezpečnostní požadavky stanovené zákonem?
Organizace můžou začít tím, že zkontrolují, zda jejich dodavatelé mají např. certifikaci ISO 27001. Tato norma je základním standardem pro řízení bezpečnosti informací. Nicméně je důležité si uvědomit, že vlastnictví této certifikace není vždy zárukou vysoké úrovně bezpečnosti.
Dle NIS2 je odpovědnost za ověření dodavatelů jednoznačně na organizaci, která jejich služby využívá. Proto by firmy neměly spoléhat pouze na certifikáty, ale tyto závazky z nich vyplývající i ověřovat. Je zásadní smluvně zajistit právo na pravidelné audity a kontroly dodavatele. Ve smlouvách by mělo být jasně uvedeno, že odběratel má právo kdykoliv ověřit, zda dodavatel skutečně dodržuje všechna předepsaná opatření.
Pokud totiž v dodavatelském řetězci dojde k bezpečnostnímu incidentu, odpovědnost zůstává na organizaci, která dodavatele využívá. To znamená, že i když problém vznikl na straně dodavatele, sankce může být udělena odběrateli, pokud neprovedl dostatečné kontroly. A odpovědnost tak nemůže být přenesena na dodavatele pouze smluvním ustanovením.
Je pro organizace výhodné outsourcovat bezpečnostní role, nebo si je ošetřit interně?
Outsourcing bezpečnostních rolí může být pro mnoho organizací výhodným řešením, zvláště pokud nemají dostatek interních kapacit nebo odborníků na kybernetickou bezpečnost. A pro organizace, které spadají pod regulaci NIS2, bude outsourcing často nutností. Na trhu je totiž nedostatek kvalifikovaných specialistů a náklady na interní experty mohou být pro většinu firem finančně neúnosné. Outsourcing tak nabízí přístup ke zkušeným odborníkům bez nutnosti vytvářet a udržovat nákladné interní týmy.
Při výběru externího partnera je však zásadní věnovat pozornost kvalitě poskytovaných služeb. Na trhu bude vznikat řada levných řešení, která často nebudou splňovat potřebné standardy, což povede k problémům s bezpečností, o to více je pak nutné zaměřit svou pozornost na smluvní podmínky a neřešit toto např. prostou objednávkou.
Jak vypadá první schůzka se Seyforem, pokud se jako organizace rozhodnu s vámi ohledně NIS2 spolupracovat?
Jako první se snažíme pochopit, v jaké situaci se vaše podnikání nachází. Ještě před setkáním si projdeme veřejně dostupné informace o vaší organizaci, abychom zjistili, zda vůbec spadáte pod zákon o kybernetické bezpečnosti, a pokud ano, jaká úroveň regulace se vás týká. Díky tomu můžeme na schůzce rovnou řešit konkrétní témata, které dávají smysl, místo obecných informací.
Schůzka začíná vysvětlením, co přesně NIS2 znamená, jaké změny přináší a co se od vás bude očekávat. Společně si projdeme vaše aktuální procesy a zaměříme se na oblasti, kde už máte bezpečnost dobře zvládnutou, a na ty, kde bude potřeba přidat. Pokud máte vlastní tým, který na bezpečnosti pracuje, můžeme vám být oporou formou konzultací nebo ověření, kdy získáte ujištění o vhodnosti opatření nebo doporučení na základě best practice. Pokud vám ale chybí kapacity nebo odborníci, umíme vám nabídnout řešení na míru.
Naším cílem je vždy najít to nejlepší řešení, které zapadá do vašich možností a zároveň splňuje všechny legislativní požadavky. V praxi to znamená vytvořit plán, který pro vás nebude jen povinností, ale přinese i reálný užitek a bezpečnost pro vaše data i procesy. Naším cílem je klást důraz na oblasti, které i pro vás mají smysl s ohledem na obor podnikání a velikost společnosti, a naopak nezatěžovat těmi oblastmi, které pro vás nejsou tak významné, více než je nezbytně nutné.
Za rozhovor děkujeme Lucii Jahnové.
Pokud máte zájem o konzultaci s odborníky ze společnosti Seyfor ve věci NIS2 a kybernetické bezpečnosti, využijte nezávaznou konzultaci: