Přes 70 % společností se zatím nepřipravuje na nový zákon o kybernetické bezpečnosti

Většina respondentů zatím není na přísnější požadavky kybernetické bezpečnosti připravena a s potřebnými kroky nezačala. Privátní sektor je na tom o něco lépe než veřejný. Vyplývá to z průzkumu připravenosti českých firem na směrnici NIS2, který provedla aliance NIS2Ready.

Průzkumu se od letošního února do dubna zúčastnilo 100 firem. Výsledky ukazují, že české organizace jsou na novou legislativu v oblasti kybernetické bezpečnosti připraveny jen částečně. Zatímco v privátním sektoru se za připravené považuje zhruba 14 % dotázaných (dle jednotlivých odvětví), ve veřejné správě není nikdo, kdo by si byl svou úrovní zabezpečení jistý. To souvisí mimo jiné s tím, jaké mají organizace dodavatele IT: ti, kteří spolupracují s certifikovanými partnery, jsou v průměru lépe vybaveni pro splnění požadavků NIS2 a nového zákona o kybernetické bezpečnosti (nZKB). 

„Z průzkumu vidíme, že velká část společností čeká na jasnou legislativu nZKB. Z mého pohledu je tento přístup krátkozraký. Řádné zabezpečení IT infrastruktury by nemělo vycházet pouze z požadavků NIS2 nebo nZKB, ale mělo by být samozřejmostí. Firmy, které zabezpečení nebudou řešit včas, mohou brzy narazit. Na trhu je nedostatek kvalifikovaných odborníků na kybernetickou bezpečnost, a i lídři v oboru mají kapacitu pouze na 10 až 15 nových klientů ročně. NIS2 dopadne na nejméně 6 000 českých společností a je tak na místě si svého experta na bezpečnost najít co nejdříve,“ řekl Michal Zedníček, expert na IT bezpečnost ze společnosti Alef Nula. 

NÚKIB specialistům poskytuje větší podporu než management

Průzkum také ukázal, že IT experti odpovědní za nZKB a NIS2 opatření cítí více podpory od NÚKIB než od svého managementu. NÚKIB společnosti podporuje stejně bez ohledu na jejich velikost, avšak s ohledem na režim, pod který v rámci NIS2 spadají. Společnosti, které svůj režim neznají, mají podpory nejméně. To může souviset s nedostatkem zájmu o téma. Společnosti, které svůj režim znají, hodnotí podporu ze strany NÚKIB jako silnou nebo dostatečnou.

Většině dotázaných společností bude na přípravu na NIS2 stačit méně než 10 milionů 

Průzkum se dále zaměřil na rozpočet společností pro implementaci směrnice NIS2. Zjistilo se, že pouze 40 % dotázaných společností svůj rozpočet zná. Nejlépe připravené jsou firmy v nižším režimu. Rozpočet stanovila nebo schválila více než polovina (58,6 %) z nich. Většina (80 %) dotázaných společností bude na přípravu na NIS2 potřebovat méně než 10 miliónů korun. Tento údaj potvrzuje, že NIS2 (a potažmo kybernetická bezpečnost) není v rozpočtu extrémně drahou položkou.

„Kybernetická bezpečnost je klíčovým obchodním rozhodnutím pro každou firmu, a to z několika důvodů. Když dojde k útoku na IT infrastrukturu, může to způsobit výpadky výroby, ztrátu dat nebo dokonce odcizení citlivých informací. Tyto incidenty mohou mít dlouhodobý dopad na provozuschopnost firmy, její pověst a ztrátu důvěry zákazníků. Investice do bezpečnostních opatření mohou riziko těchto nepříjemných situací minimalizovat,“ uvedl Tomáš Kudělka, ředitel společnosti KPMG pro oblast kyberbezpečnosti. 

„Nehledě na povinnost, kterou směrnice NIS2 přináší, je ochrana před kyberútoky z pohledu bezpečnosti společností klíčová a rozhodně by se neměla podceňovat. A je jedno, zda pod NIS2 organizace spadá či nikoliv. Každá firma by si totiž měla projít analýzou aktiv a potenciálních rizik, aby věděla, jakým způsobem má vytvořit bezpečnostní strategii a plán zvládání rizik. Tím zjistí, do čeho má v případě zabezpečení prioritně investovat. Důležité je také dál prioritizovat implementaci opatření zmírňujících vysokou míru rizika ideálně s nižším TCO (celkovými náklady na vlastnictví), což pomáhá rychle zvyšovat kybernetickou odolnost a zároveň snáze obhájit potřebný rozpočet,“ doplnil Petr Kocmich, bezpečnostní analytik společnosti SOITRON.

Firmy nevědí, že část nákladů na zvýšení zabezpečení mohou pokrýt evropské dotace

Pouze 41 % dotázaných firem plánuje využít možnost financování z Evropské unie. Zatímco ve veřejné správě uvažuje o dotacích většina respondentů (75 %), v privátním sektoru je to pouhá třetina (35 %). Průzkum ukázal, že většina respondentů o možnosti čerpání dotací z EU nevěděla.

„Firmy by měly vědět, že existuje možnost žádat o finanční podporu. Tato podpora není omezena pouze na veřejné subjekty, ale vztahuje se také na komerční společnosti. Je důležité sledovat aktuální nabídky dotačních programů, protože jich stále přibývá. Správná strategie a včasná žádost o dotaci mohou firmám pomoci lépe se připravit na nové výzvy, které NIS2 přináší,“ poznamenal Martin Bednář, obchodní ředitel poradenské společnosti enovation.

O směrnici NIS2

NIS2 je nová evropská legislativa, která zavádí povinnost pro firmy a organizace veřejného sektoru zajistit vysokou úroveň kybernetické bezpečnosti. NIS2 má být do národní legislativy implementována do konce roku 2024 a může mít zásadní dopad na firmy v různých sektorech, jako jsou energetika, doprava, zdravotnictví, finance, telekomunikace nebo digitální trh. 

Firmy budou muset například hlásit kybernetické incidenty, provádět penetrační testy a scany zranitelností nebo pravidelně vzdělávat své zaměstnance v této problematice. Nově

se zavádí i přímá odpovědnost vrcholového vedení za řízení kybernetické bezpečnosti, kdy při hrubém porušení hrozí odebrání funkce statutárního orgánu do doby nápravy (minimálně na 6 měsíců).

O alianci NIS2Ready

Aliance vznikla loni v listopadu s cílem zvýšit povědomí o závažnosti NIS2 a nabídnout komplexní odbornou podporu při adaptaci na ni, včetně obstarání dotací. Alianci tvoří experti technologických a poradenských firem a advokátních kanceláří Cisco, KPMG, Soitron, Alef Nula, enovation a eLegal. 

Zdroj ilustračního obrázku: Towfiqu barbhuiya