Dle předpokladů Národního úřadu pro kybernetickou a informační bezpečnost NÚKIB by s drobným odložením původního termínu měla koncem tohoto roku v Česku začít platit evropská norma NIS2, zásadní právní předpis i rámec v oblasti kybernetické bezpečnosti. Co lze předpovídat?
Ze zkušenosti z minulosti, například s přístupem k nástupu GDPR i dalších podobně rozsáhlých norem, je možné očekávat následující scénář:
- Firmy budou odkládat přípravy na poslední chvíli nebo je vůbec nebudou brát vážně, což nakonec povede k nedostatečně připravenosti a nedodržení termínů a podmínek.
- Už nyní je jasné, že existuje nedostatek zdrojů napříč firmami. Finančních, technických ale také lidských. S blížícími se termíny bude situace ještě komplikovanější.
- Řada firem nezažádá včas o dostupné dotace, čímž si dále komplikuje situaci.
- Podcenění požadavků NIS2 povede k tomu, že mnoho firem je nebude schopno splnit, což povede k právním komplikacím a vysokým pokutám.
- Nedostatečná připravenost a nesoulad s normou povede ke zvýšenému riziku kybernetických útoků a bezpečnostních incidentů. A s ohledem na přísnější požadavky také k potenciálně tvrdším postihům.
- Pro řadu firem vzniknou ekonomické i reputační ztráty, dojde k poškození pověsti, protože se dostanou do pozice firmy neschopné chránit data a systémy.
Výše popsaný poněkud katastrofický scénář závisí na řadě faktorů, včetně úrovně přijetí a podpory ze strany vlády, schopností a ochoty firem investovat do kybernetické bezpečnosti, a celkového povědomí o důležitosti dodržování bezpečnostních standardů.
Jak by vypadal ideální scénář
- Firmy začaly s přípravou ideálně nejpozději v lednu 2024, což zahrnuje intenzivní vzdělávací programy a tréninky pro zaměstnance a řadu dalších následných kroků týkajících se aplikací, software, informačních systémů, procesů.
- Dojde k značným investicím do bezpečnostních technologií a infrastruktury, aby byly splněny požadavky normy NIS2.
- Firmy od samého počátku spolupracují s kybernetickými bezpečnostními experty a konzultanty pro zajištění souladu.
- Do října 2024 se většině firem podaří úspěšně implementovat potřebné změny a jsou plně v souladu s normou NIS2.
V tomto případě se celkově významně zvyšuje kybernetická bezpečnost a obranyschopnost firem, čímž se snižuje riziko útoků a poruch.
Jaká situace pravděpodobně nastane
Zkušenosti z minulosti a také znalosti trhu říkají, že ve velkém množství firem nastane situace popsaná na počátku, tedy katastrofická. Pouze část, pravděpodobně okolo dvaceti maximálně třiceti procent firem, úspěšně projde vším potřebným pro splnění požadavků NIS2 v termínu.
Nepříznivému scénáři nahrává i možný odklad NIS2 a prozatím chybějící důraz státu na to, jak NIS2 je důležitá a hlavně, jaké má praktické pozitivní dopady na kybernetickou bezpečnosti. Stát by zcela určitě měl zvážit aktivní podporu, vzdělávací i jinou, týkající se právě NIS2.
Komentuje Irena Hýsková, výkonná ředitelka Thein Security
O Thein Security
Společnost Thein Security, která patří do skupiny Thein, se výhradně zabývá kybernetickou bezpečností. Nabízí komplexní služby a pokročilá technologická řešení spojená s ochranou firem v kyberprostoru, včetně prevence úniku citlivých dat, obrany proti sofistikovaným útokům, detekce neznámého malware nebo aktivní ochrany proti DDoS útokům. Jednou z hlavních specializací firmy je vlastní bezpečnostní dohledové centrum SOC (Security Operations Center), které je k dispozici těm zákazníkům, kteří se chtějí soustředit na své podnikání, ale současně vyžadují prvotřídní dohled nad ochranou svých dat v kyberprostoru. Thein Security se ve svém odvětví odlišuje výjimečnou skladbou certifikovaných profesionálů s dlouholetými a unikátními znalostmi, které baví jejich práce a usilují o maximální spokojenost svých zákazníků. Pyšní se jedinečným diamantovým partnerstvím s celosvětovým lídrem v oblasti bezpečnosti Palo Alto Networks.