Co přinese směrnice NIS2 a jsou na ni české firmy připraveny?
Téma směrnice kybernetické bezpečnosti NIS2 začíná rezonovat stále intenzivněji a je to zcela pochopitelné – s blížícím se termínem platnosti, jež připadá na polovinu října letošního roku, sílí i tlak a určitá míra nervozity.
A ta je bezesporu na místě. NIS2 se nově dotkne bezmála dalších 6 000 firem a organizací, pro které stávající povinnosti dosud neplatily. A podle nezávislých průzkumů, realizovaných specializovanými agenturami (společnosti jako KPMG nebo EY) vyplývá jeden společný a neradostný závěr: nepřipravenost.
Pokud totiž hovoříme o subjektech, na které se původní NIS nevztahovala, v mnoha případech narážíme i na zcela tristní situaci.
Samozřejmě, jak říká rčení, nelze házet všechny do jednoho pytle a záleží na oblasti podnikání, velikosti firmy – i celkovém přístupu managementu k oblasti kybernetické bezpečnosti v dlouhodobém měřítku.
Je ale bezesporu zarážející, že v dnešní době stále některé organizace žijí v domnění, že jsou zabezpečeni prostřednictvím nasazeného firewallu a antiviru, tudíž mají „splněno“.
V první řadě, neznalost neomlouvá. Ať už společnost padá do méně, či více regulované kategorie (a tím spíše je ve větším „hledáčku“), v obou případech je třeba se implementaci věnovat velmi důsledně.
S nedodržením požadavků jsou spojené jak nemalé finanční sankce (pro menší firmy rodinného typu mohou být až likvidační), tak povinnost hlásit incidenty Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB), tak celá řada konkrétních povinností, jako školení zaměstnanců, až po vyvození osobní odpovědnosti.
Přímý vliv bude mít NIS2 i na standardizaci dodavatelských řetězců – nově se například zaměřuje právě i na ošetření zabezpečení dodavatelů.
V zájmu organizací samotných by samozřejmě mělo být držet zabezpečení na maximální možné úrovni. Co jsou ty největší zádrhele, proč se tomu tak neděje?
Obvykle to vychází již ze zmíněného celkového přístupu a investicím do kybernetického zabezpečení obecně. Častým faktorem jsou tedy finance, nedostatek kompetentních odborníků a také neznalost problematiky. Splnění základních požadavků NIS2 totiž často nutně neznamená obrovské investice, ale například zavedení potřebných procesů.
Pokud vás zajímá více NIS2 a zda jste na ni jako organizace připraveni, neváhejte se nám ozvat, rádi vám pomůžeme s auditem situace i nastavením potřebných opatření.
Co dalšího si přečíst
Podívejte se na další aktuality ze světa IT a dění ve společnosti ITS