Většina firem si pod zákonem o kyberbezpečnosti představí nové investice do technologií. Prvním krokem však není nákup zabezpečení, ale revize bezpečnostní dokumentace. Jak chcete něco implementovat, když nevíte, co vlastně potřebujete?
„Oslovili jsme vybrané firmy ze skupiny přibližně 6 000 subjektů, na které nově dopadne aktualizovaný zákon o kyberbezpečnosti. Z našich zjištění vyplývá, že velká část firem má právě zásadní nedostatky v oblasti dokumentace, navazujících procesů i personálního zajištění,“ říká Tomáš Hlavsa ze společnosti Atos.
Nedostatečná dokumentace a pokuty za nedbalost
Pod novou kyberbezpečnostní normu spadne zhruba 6 000 firem. Každá z nich musí splnit řadu povinností. K tomu potřebují bezpečnostní dokumentaci, která definuje například vnitřní procesy, politiky, analýzy rizik nebo role zaměstnanců. Problémem je, že dokumentace přirozeně stárne. „U jednoho klienta byla čtyři roky stará dokumentace použitelná z hlediska nové legislativy z pouhých 25 %,“ poukazuje na riziko Hlavsa s tím, že i v případech, kdy se stáří materiálů pohybuje nejvýše kolem dvou let, je přibližně 80% shoda. Přepracovat se proto musí terminologie, paragrafy, přibyly i nové povinnosti.“
Firmy podle Hlavsy kromě shody dokumentace a návaznosti procesů nebezpečně podceňují také oblast lidských zdrojů. Státu je také třeba nahlásit personální obsazení klíčových rolí odborníky, včetně kontaktních údajů. Výběr lidí přitom rozhodně nemá být jen formální. Zákon totiž zavádí také princip řádného hospodáře. Podobně jako v případě BOZP za nedostatky už neponese odpovědnost jen organizace, ale také konkrétní osoby. Statutárním orgánům, vedoucím IT, bezpečnostním manažerům nebo odpovědným pracovníkům budou hrozit jak vysoké peněžní sankce, tak trestněprávní postih.
S přípravou netřeba otálet
Ačkoliv k zákonu ještě nebylo schváleno několik prováděcích vyhlášek s podrobnostmi, celkový rámec je podle expertů jasný a není třeba otálet s přípravou. Ideálně do konce roku by si měla každá dotčená společnost udělat alespoň revizi bezpečnostní dokumentace. Firmy se tak vyhnou překvapení, kolik práce s implementací nové legislativy před sebou mají. Vzorem jim mohou být firmy z automobilového průmyslu či tradičně banky. Ty jsou v oblastech procesů a lidí na příchod NIS2 připraveny v podstatě již nyní.
„Začíná závod s časem. Kyberzákon od listopadu zahrne tisíce firem a organizací veřejné správy. Kdo se dosud spoléhal jen na antivir a firewall, měl by se co nejdříve podívat do šanonu s interní dokumentací – právě tam totiž začíná skutečná kyberbezpečnost,“ uzavírá Hlavsa.
