Tuzemské firmy a veřejné instituce se aktuálně připravují na opatření, která vyžaduje evropská bezpečnostní směrnice NIS2. Do českého právního řádu ji implementuje nový zákon o kybernetické bezpečnosti. Ten by měl nabýt účinnosti v polovině letošního roku. Řada společností už proto provádí nezbytné analýzy a plánuje realizaci potřebných změn. NIS2 totiž klade na firmy zvýšené nároky především v technických a organizačních oblastech jejich každodenního fungování. Je ovšem stále mnoho firem, které novou směrnici zajišťující vyšší bezpečnost sítí a informačních systémů nijak neřeší. Důvodem je i to, že o ní vůbec neví. Jak ukázal nedávný průzkum poradenské skupiny Moore Czech Republic mezi více než dvěma stovkami soukromých podnikatelů, vrcholových manažerů a zaměstnanců na vyšších vedoucích pozicích napříč obory, 72 % respondentů o NIS2 doposud neslyšelo.
Proaktivní postoj ve vztahu ke směrnici NIS2 je patrný u větších firem a dotčených odvětví kritické infrastruktury. Jejich zástupci si uvědomují, že správná interpretace a implementace legislativních požadavků se neobejde bez komplexního přístupu. Celý proces přitom trvá 6 až 18 měsíců, v závislosti na velikosti organizace, její připravenosti a složitosti IT struktury. Klíčovými faktory, které mohou proces zpomalit, jsou pak nedostatečné zdroje nebo nejasná vize projektového řízení.
„Vše začíná úvodní analýzou stavu kybernetické bezpečnosti v dané firmě. Zjištěnou situaci následně porovnáváme s požadavky směrnice NIS2 – najdeme a pojmenujeme případné rozdíly a navrhujeme nutné úpravy. Ať už technického, organizačního nebo procesního rázu. Samotná implementace pak zahrnuje zavádění technologií, školení zaměstnanců i aktualizace interních směrnic. Na závěr samozřejmě testujeme, zda přijatá opatření skutečně fungují a zda jsou v naprostém souladu s NIS2,“ vysvětluje Radek Dvořáček, Manager Moore Technology CZ.
Ačkoliv řada společností již aktivně připravuje strategie a opatření, která vyplývají ze směrnice NIS2, zejména firmy a organizace v kritické infrastruktuře, ucelený plán implementace má podle výše uvedeného průzkumu jen čtvrtina organizací. Naopak 29 % z nich žádný harmonogram nemá. Firmám v tom kromě jiného brání nedostatek odborných znalostí a složitost legislativního rámce NIS2.
„Nejtěžší bývá sladění technických řešení s organizačními záležitostmi. Je tedy na místě přizvat zkušeného partnera, který s tím pomůže. Přenastaví interní procesy na míru. Postará se o výběr a nasazení vhodných technologií pro detekci hrozeb a reakci na ně. Proškolí personál. Nedílnou součástí boje proti kybernetickým útokům je také povinnost firem reportovat o incidentech úřadům a zákazníkům tak, jak směrnice určuje. I na to je dobré pamatovat,“ říká Radek Dvořáček.
Skupina Moore Czech Republic patří díky svým prokazatelným výsledkům, struktuře a oblastem působení k vyhledávaným subjektům pro aplikaci směrnice NIS2 ve firmách i státních institucích. Příkladem může být spolupráce s renomovanou strojírenskou firmou, ve které specialisté z Moore Technology CZ identifikovali klíčové mezery v kybernetické bezpečnosti, zavedli centralizovaný systém monitoringu a incident managementu, upravili interní směrnice a proškolili personál. „Nejen že jsme těmito kroky dosáhli souladu s NIS2, zároveň jsme také výrazně eliminovali možná rizika. Klient ocenil i jasné nastavení zodpovědnosti v jednotlivých odděleních společnosti,“ popisuje Radek Dvořáček.
Firmy, které mají implementaci NIS2 zatím ještě před sebou, by se měly primárně zaměřit na počáteční analýzu rizika. Ta je totiž klíčová pro určení priorit. Současně je potřeba provést audit aktuálního stavu a zmapovat si současné schopnosti i nedostatky. A v neposlední řadě je pak nutné formulovat interní směrnice a určit odpovědné osoby. Tyto kroky výrazně zefektivní celkovou implementaci.
Podle průzkumu Moore Czech Republic ti, kdo už o směrnici vědí, hodnotí její cíle relativně pozitivně. A to jak v rovině posílení důvěry u zákazníků a obchodních partnerů, tak při zlepšování kybernetické bezpečnosti ve firmě. NIS2 má potenciál adekvátně reagovat na neoddiskutovatelnou, zvyšující se sofistikovanost kybernetických útoků. „Důležitým preventivním aspektem pro celé odvětví je sdílení informací o kybernetických incidentech. Současně by firmy měly poskytnout maximální podporu specializovaným týmům. NIS2 vytváří pro tyto aktivity stěžejní rámec,“ vysvětluje Radek Dvořáček.
O skupině MOORE Czech Republic
Poradensko-auditní a technologická skupina MOORE Czech Republic poskytuje svým klientům široké portfolio aktivit v 6 divizích – MOORE Advisory, MOORE Accounting, MOORE Audit, MOORE Academy, MOORE Technology a MOORE Legal. MOORE Czech Republic působí na trhu od roku 2011 a od roku 2020 je součástí nadnárodní sítě MOORE Global. MOORE Czech Republic zaměstnává téměř 300 specialistů a působí v 9 místech České republiky a na Slovensku.
Předností skupiny MOORE Czech Republic je schopnost propojovat oblast odborného poradenství s přímou realizací činností a projektů v praxi, čímž přilákala do svého portfolia nejen korporátní klienty, ale také kombinaci středně velkých společností a aktuálně se rychle rozvíjejících start-upů. Více informací o skupině MOORE Czech Republic naleznete na www.moore-czech.cz.
O MOORE Global
MOORE Global je jedna z největších mezinárodních sítí auditorských a poradenských společností s více než 30 000 pracovníky ve více než 260 nezávislých firmách a 114 zemích. Renomovaná síť odborně zaměřených firem se jménem MOORE ve svém názvu vznikla již v roce 1907. Více podrobných informací je možné nalézt na internetové adrese www.moore-global.com.