Směrnice NIS2 představuje významný krok v oblasti kybernetické bezpečnosti na úrovni Evropské unie. Jejím cílem je zvýšit ochranu firem a organizací před kybernetickými hrozbami, přičemž zavádí rámec minimálních bezpečnostních požadavků, které by měly organizace splňovat. I když směrnice vstoupila v platnost už v říjnu loňského roku, v Česku stále čekáme na její transpozici do národního práva. Tato situace však vyvolává řadu nejasností a mýtů, které mezi firmami vzbuzují zbytečný stres a obavy.
S Lucií Jahnovou, odbornicí na kybernetickou bezpečnost a risk management, jsme se zaměřili na nejčastější omyly spojené se směrnicí NIS2. Vysvětlíme, proč nejsou některé rozšířené názory pravdivé, a předáme vám praktická doporučení, jak se k této problematice postavit s chladnou hlavou. Cílem je ukázat, že NIS2 nemusí být strašákem, ale naopak příležitostí, jak přistupovat k bezpečnosti dat rozumně a efektivně.
"Pokud někdo řekne, že NIS2 ještě není schválená a čekáme na to, tak je to nesmysl, protože NIS2 už platná a účinná je od října 2024, a my jen čekáme na transpozici do českého zákona v podobě ZoKB," vysvětluje Lucie Jahnová. Zároveň ale upozorňuje na opačný extrém: "Pokud někdo tvrdí, že i bez českého zákona musíte už teď splnit všechny požadavky NIS2, tak to taky není úplně přesná informace."
Firmy tak často čelí protichůdným zprávám a mohou mít pocit, že musí jednat okamžitě a bez rozmyslu.
TIP: Nejste si jistí, zda se vás NIS2 týká? Vyzkoušejte naši jednoduchou kalkulačku.
Nejčastější mýty spojené s NIS 2
1) NIS2 je jen výmysl EU a pro české firmy to není relevantní.
Tento názor se mezi některými firmami stále objevuje, ale je založen na nepochopení skutečného smyslu směrnice. Směrnice NIS2 nevznikla jako zbytečné nařízení, ale jako reakce na rostoucí kybernetické hrozby, které ohrožují nejen jednotlivé firmy, ale i celé ekonomiky.
"Dnes žijeme v digitální době. Dříve bylo normální zamykat věci do trezoru, zamykat kanceláře, hlídat budovu prostřednictví kamer a nikdo se nad tím nepozastavil, protože to byla prostě automatická věc. Šlo o ochranu firemních dat, které byly tenkrát v papírové podobě. Dnes se ale musíme zamýšlet nad tím, jak data zabezpečíme jinak, protože to, že zamkneme kancelář, nám je neochrání. Útočník už nám nebude chtít vylomit zámky a odnést si počítač. Půjde na to jinou cestou – cestou digitální. Takže logicky i potřebná ochrana musí být digitální, a to je důležité si říct a uvědomit si to." vysvětluje Lucie. Směrnice NIS2 je tedy jakýmsi "zámkem a trezorem" pro digitální svět.
Navíc NIS2 neříká, že firmy musí plnit nerealistické cíle – jejím cílem je zajistit základní bezpečnostní standardy, které chrání nejen firmy spadající pod regulaci, ale i ty, které chtějí držet krok s dobou a minimalizovat riziko ztráty dat.
2) Organizace musí jednat hned teď a nakoupit drahé systémy.
Jedním z nejčastějších mýtů, který mezi firmami koluje, je nutnost okamžitě investovat do drahých a komplexních bezpečnostních řešení. Tento tlak často vytvářejí někteří dodavatelé, kteří chtějí využít situace k prodeji svých služeb.
"Firmy někdy přijdou vystrašené, protože je někdo přesvědčil, že musí hned nakoupit drahé systémy nebo investovat desítky milionů korun," říká Lucie. Ve skutečnosti však není nutné jednat pod tlakem. "Firmy by měly nejprve pochopit svá rizika a stav kybernetické bezpečnosti své firmy a na základě toho hledat optimální řešení," dodává.
Klíčem je uvažovat strategicky, a ne podléhat zbytečnému stresu. Směrnice NIS2 dává firmám prostor připravit se postupně a rozumně.
3) NIS2 je příliš komplikovaná a nelze její požadavky jednoduše splnit.
Mnoho firem má obavy, že NIS2 přináší komplikované požadavky, které budou pro běžnou organizaci nereálné. Ve skutečnosti však směrnice nastavuje spíše rámec, nikoli detailní instrukce.
"Je to o tom, jak to firma uchopí. Když se požadavky pojmou rozumně a prakticky, regulace dává smysl," říká Lucie. Například bezpečnostní manuály, které budou povinnou dokumentací, nemusí být dlouhé a složité. "Pokud je návod pro zaměstnance, např. jak nahlásit bezpečnostní incident, zpracován přehledně, třeba na stránku s grafickými prvky, má daleko větší šanci, že se podle něj zaměstnanci v kritické chvíli opravdu zachovají správně," dodává.
NIS2 není o zbytečném papírování, ale o vytvoření jasného a praktického systému, který organizaci pomůže reagovat na reálné hrozby.
4) NIS2 vyžaduje konkrétní systémy a outsourcování bezpečnostních rolí.
Další rozšířenou nepravdou je, že NIS2 přesně stanovuje, jaké systémy organizace musí používat, nebo že všechny bezpečnostní role musí být outsourcovány.
"Není pravda, že musíte mít konkrétní technologie nebo že bezpečnostní specialisté nemohou být interní. To jsou mýty, které jen zbytečně děsí firmy," upozorňuje Lucie. Směrnice je koncipována jako rámcová a dává firmám volnost v tom, jakým způsobem naplní její požadavky.
Důležité je zaměřit se na účel – tedy zabezpečit data tak, aby byla chráněna přiměřeně rizikům dané organizace. "Nikdo neříká, že musíte mít drahý systém, ještě dražší techniky nebo školení čtyřikrát do roka. Jde o to, aby opatření dávala smysl a plnila svou funkci."
TIP: O outsourcingu služeb jsme si s Lucií povídali také v rozhovoru: NIS2 a ZoKB – Odpovědnost vedení, role IT i outsourcing bezpečnosti.
5) NIS2 znamená konec malých a středních podniků.
Mnoho menších a středních firem, kterých se NIS2 dotkne, se obává, že náklady spojené s implementací nových požadavků pro ně budou likvidační, a regulaci proto vnímají jako zaměřenou hlavně na velké korporace. To však není pravda. "NIS2 nastavuje základní úroveň zabezpečení, kterou by měla zvládnout každá firma bez ohledu na velikost," vysvětluje Lucie.
"Firmy jsou často zmatené, protože slyší různé protichůdné informace. Některé malé organizace si myslí, že musí okamžitě investovat do drahých systémů nebo najmout externí specialisty, což pro ně může být děsivé, zejména pokud nemají dostatečné interní zdroje. Realita je však jiná." Pro malé a střední podniky se většinou jedná o implementaci několika základních opatření, jako je pravidelné zálohování dat, školení zaměstnanců nebo zavedení jednoduchých detekčních nástrojů, které dokážou včas upozornit na možnou hrozbu.
Cílem NIS2 není likvidace menších firem, ale zvýšení jejich odolnosti vůči kybernetickým útokům. "Ve většině případů jde spíš o racionalizaci toho, co už firmy stejně dělají, a ne o zavádění nákladných a zbytečných opatření," dodává Lucie.
6) Dostanu certifikát o mém souladu s NIS2.
Ve firmách se stále častěji objevuje požadavek na certifikát o souladu s NIS2. Směrnice NIS2 sama o sobě nevyžaduje žádný oficiální certifikát ani nenabízí standardizovaný dokument, který by osvědčoval soulad organizace s jejím rámcem. Nejsou tudíž na trhu ani certifikační autority, které by disponovaly touto kompetencí a mohly vydávat nějaké certifikáty týkající se NIS2.
Jedná se o implementaci základních bezpečnostních opatření, která musí být splněna a doložena jinými způsoby, například prostřednictvím interních procesů, auditů nebo jiných nástrojů kybernetické bezpečnosti. Pokud se tedy někdo odvolává na "certifikát NIS2", jde o nepochopení požadavků směrnice a v případě kontroly tento certifikát nebude mít žádný význam.
7) Pokud mám pobočky v jiném státě EU, stačí mi dodržovat pouze českou legislativu.
Tento názor není správný. NIS2 stanovuje, že organizace působící v různých členských státech Evropské unie musí splňovat požadavky všech relevantních legislativ, které se týkají jejich operací v daných zemích.
Směrnice má zajistit jednotný přístup k bezpečnosti v rámci celé EU, ale implementace a dohled jsou na národních úrovních. Pokud tedy česká firma působí například na Slovensku nebo v Německu, musí kromě české legislativy dodržovat i místní právní úpravy transponující směrnici NIS2, které mohou mít svá specifika. Jinými slovy, firmy nemohou spoléhat pouze na dodržování českých pravidel pro dosažení souladu v celé EU, ale musí se podívat i na další legislativní úpravy.
Jak předejít chaosu a dezinformacím?
Jak se nenechat vystrašit obchodníky nabízejícími "zázračná řešení"
V praxi se často stává, že firmy oslovují dodavatelé, kteří tvrdí, že jejich produkt je jedinou cestou k naplnění požadavků NIS2. "Firmy jsou z toho vyděšené a mají pocit, že musí jednat okamžitě. To je ale často jen obchodní taktika," říká Lucie. Doporučuje, aby firmy nejprve získaly jasné a nezávislé informace, než se zaváží k jakékoliv investici.
Kde hledat ověřené informace a jakým zdrojům důvěřovat?
Firmy by měly čerpat informace od důvěryhodných zdrojů, jako jsou:
- Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
- Odborní konzultanti s prokazatelnými zkušenostmi v oblasti kybernetické bezpečnosti.
- Asociace nebo odborné skupiny zaměřené na kybernetiku (např. Úvod – CSIRT).
TIP: Informace o NIS2 vám pravidelně přinášíme také na našem blogu v sekci NIS2. Nebo obecně v sekci zaměřené na kybernetickou bezpečnost.
Jak vyhodnotit nabízená řešení od dodavatelů
Na trhu existuje řada dodavatelů, kteří nabízejí různá bezpečnostní řešení. Firmy by však měly být obezřetné:
- Na co si dát pozor při výběru bezpečnostních nástrojů a služeb?
"Dodavatelé často prezentují svá řešení jako univerzální odpověď na požadavky NIS2, ale realita je složitější," upozorňuje Lucie. Firmy by měly pečlivě ověřit, zda nabízený nástroj skutečně odpovídá jejich potřebám a rizikům, nikoliv jen aktuálním trendům.
TIP: V Seyforu s vámi naši odborníci na kybernetickou bezpečnost rádi udělají prvotní audit stavu vaší bezpečnosti a poradí následné kroky. Zjistěte více.
- Důraz na přizpůsobení řešení konkrétním potřebám firmy
Každá firma je jiná, a proto neexistuje jedno univerzální řešení. Klíčem je flexibilita a přizpůsobení bezpečnostních opatření konkrétnímu provozu a rozpočtu firmy. "Není potřeba utrácet za drahé balíčky – důležité je najít řešení, které bude dávat smysl a zároveň splní rámec regulace," dodává Lucie. Vždy je potřeba zohlednit velikost firmy a její potřeby (kompatibilita se stávající technologií), a ne kupovat marketingově hezký nástroj, který bude v praxi nevyužívaný z důvodu jeho robustnosti, neplné kompatibility či náročnosti na obsluhu.
NIS 2 jako příležitost, ne strašák
Směrnice NIS2 by neměla být vnímána jako další administrativní překážka, ale spíše jako nástroj, který může firmám pomoci zlepšit jejich bezpečnostní úroveň.
"NIS2 nebyla zamýšlena jako represivní regulace, která má někoho nutit něco kupovat. Jde o rámec, který má pomoci firmám chránit jejich data a zůstat v bezpečí v digitálním světě," vysvětluje Lucie Jahnová.
Klíčem k úspěšnému splnění požadavků NIS 2 je racionální přístup a strategické plánování. Firmy by měly využít této příležitosti k modernizaci svých procesů a ke zvýšení své digitální odolnosti. "Pokud se k regulaci přistoupí rozumně, může to být pozitivní změna, která firmám přinese dlouhodobé výhody," uzavírá téma Lucie.
Výzva pro firmy je jasná: Využijte NIS2 jako příležitost k ochraně svého byznysu a získejte konkurenční výhodu v bezpečnějším a odolnějším digitálním prostředí.