- Kateřina Hůtová
- David Polách
V čtvrtek 4. dubna se Legislativní rada vlády vyjádřila k Novému návrhu zákona o kybernetické bezpečnosti a doporučila jeho přepracování. Dle dostupných zdrojů směřovala kritika zejména vůči zakotvení povinností pro poskytovatele regulovaných služeb v prováděcích právních předpisech (vyhláškách) nikoliv zákoně a již dříve kritizované úpravě prověřování dodavatelských řetězců. Na sociálních sítích se rozjela bouře plná informací o „konci nového zákona o kybernetické bezpečnosti“. Je tomu opravdu tak?
Pojďme se na to podívat možná i z jiného pohledu.
- Každá nová legislativa, která výrazně ovlivňuje chod soukromých/veřejných subjektů bývá provázena vášněmi a názorovými zvraty. Ani NzKB v tomto není jiný, to ale nemění nic na tom, že povinnosti se přijmout musí, tak se toho pojďme chopit s grácií a najít win-win situaci pro všechny (tzn. pro subjekt i compliance)
- Pokud se podíváme na statistiky, kolik návrhů zákonů se běžně z legislativní rady vrací, tak NzKB není výjimkou. Naopak s určitými procesními změnami se vždy počítá. Asi bychom naopak byli mírně překvapeni, kdyby návrh zákona proplul bez žádných vln. Znamená to snad velké "bye bye novým povinnostem?“ – ačkoliv chápeme, že byste si to někteří z Vás přáli, tak ne. Zákon stále počítá s tím, že bude účinný na přelomu roku 2024/5 nebo na začátku roku 2025.
- „Proč mi do toho vůbec stát „kecá“?“ Je to můj byznys, když padnu tak to bude můj problém. – Ano, možná v momentě, kdy byl svět nastaven tak, že každý dům by byl od sebe desítky kilometrů. Teď spíš všichni žijeme v paneláku, v momentě, kdy začne hořet byt uprostřed, nějakým způsobem to ovlivní i ostatní byty.
Tedy co dál?
Slovní vyjádření povinností se možná částečně změní, jejich obsah ale zůstane obdobný. V tomto ohledu bylo ze strany LRV kritizováno prakticky jen prověřování dodavatelských řetězců. Úprava NIS2 (právní základ nového zákona o kybernetické bezpečnosti) vychází z mezinárodní normy ISO 27001, která zakotvuje dobrou a osvědčenou praxi.
Praktický rozdíl v tom, zda bude povinnost užívat nástroj pro zaznamenávání událostí na koncových stanicích a serverech stanovena vyhláškou či zákonem je pro ty, kdo jej používají, minimální.
- Ověřování totožnosti uživatelů,
- vytváření záloh,
- znalost důležitosti vlastních informačních systémů a jejich provázanost s HW,
- vydefinované časy, kdy Vám dodavatel pomůže systémy nahodit a kolik Vás to bude stát…
to všechno jsou témata, která by měla organizace řešit bez ohledu na to, co říká zákon.
Pokud je to pro fungování firmy důležité, nepotřebuje k řešení kybernetické bezpečnosti zákon, ale management, který si její důležitost uvědomí.
Kybernetická bezpečnost nemá být jen byrokratickou překážkou
Řízení kybernetické bezpečnosti je přitom možné nastavit tak, aby dané náklady, procesy a postupy, dávaly společnosti ekonomický smysl. A přesně to je naším cílem v Cybrele.
V Cybrele nebereme kybernetickou bezpečnost jako byrokratickou překážku, jako mnozí kritici chystaného zákona. Ani nemá být vnímána jako brzda byznysu, kterou je nutné si „odbýt“ kvůli zákonným požadavkům a možným sankcím.
Naopak. Cílem kybernetické bezpečnosti je, aby společnost fungovala co nejefektivněji. Vývoj v oblasti informačních technologií způsobil, že dnes jsou prakticky všechny organizace, napříč širokým spektrem odvětví, na informačních systémech nebo výpočetních technologiích závislé. Nejedná se pouze o služby, kde využití těchto technologií očekává každý, jako je například energetika, bankovnictví, poskytování komunikačních služeb, ale taktéž třeba doručování dodávek, výrobu zboží, vyřizování objednávek od zákazníků či zpracování faktur.
Zohlednění kybernetické bezpečnosti v rámci procesu fungování určité společnosti je zejména uvědomění si důležitosti jednotlivých činností, které se v běžném provozu společnosti objevují a zhodnocení jakým způsobem, v jaké míře a na čem je tato činnost závislá.
Výsledkem je stanovení důležitosti činností, vyhodnocení závislostí mezi činností a výpočetními technologiemi, na kterých funguje a přijetí opatření v případech, kdy se rizika budou jevit jako příliš vysoká. Součástí kybernetické bezpečnosti je popis těchto procesů.
Ve svém důsledku informační bezpečnost připraví organizaci na problémy spojené s jejich informačními aktivy, které by ovlivnily její schopnost fungovat a vydělávat peníze. Stanovení bezpečnostních opatření pak do určité míry slouží jako prevence pro předcházení kybernetických hrozeb a incidentů či zmírnění jejich dopadů. Ty by v případě, že by nastaly, mohly dané společnosti přinést mnohonásobně větší finanční a jiné újmy (např. reputační riziko) než samotná investice do kybernetické bezpečnosti.
Co s tím? Můžu si kybernetickou bezpečnost smazat ze svého ,,TO-DO listu?
- Podívejte se na to, co máte a nemáte nastaveno (můžete vzít v úvahu návrh zákona a vyhlášek nebo alespoň nějaké základní best practise, tak či tak neuděláte chybu).
- Z výsledků si udělejte roadmapu – podle toho, jestli budete pod nový zákon spadat, a v jakém režimu. I pokud byste nespadali a na základě bodu 1) by se našlo několik mezer, které by Vám mohly ublížit, nepodceňujte to – těžko na cvičišti, lehko na bojišti.
- Potřebujete s tím pomoct nebo to zvládnete sami? Obojí je naprosto v pořádku, žádní konzultanti Vám neudělají „kybez" za Vás, ať tvrdí cokoliv, vždy budete součástí spolupráce.
- Budget. Protože, pokud budete potřebovat pomoct – bude Vás to něco stát. Pokud budete potřebovat nějaké technické opatření – bude Vás to něco stát. Nebudeme lhát, zavádění povinností není zadarmo, ale myslete na „přiměřeně-přiměřeně“ – jak se solí v pohádce, tak i s technickými a organizačními opatřeními. Udělejte to tak, aby to vyhovovalo Vám a fungovalo to, o nic jiného nejde.
Pár myšlenek na závěr:
Zavedení právních povinností k dodržování kybernetické bezpečnosti možná přispěje k její celkové vyšší úrovni. Důležité ale je, aby organizace měly v kybernetické bezpečnosti pořádek. V dnešním světě, kdy je s IT propojeno prakticky vše, je nutné mít o kybernetické bezpečnosti obdobný přehled, jako třeba o financích. Znát souvislosti, co jaké hodnoty znamenají a jak s nimi do budoucna pracovat tak, aby organizace fungovala lépe.
To, že se posouvá platnost Nového zákona o kybernetické bezpečnosti je tak příležitostí zejména pro organizace. Ty mohou vše lépe naplánovat, rozložit v čase a neotálet. Využití dodatečného času k odložení investice do kybernetické bezpečnosti z pozice „není to potřeba“ je pak spíše příležitostí pro útočníky využívat nepřipravenosti déle.
Chcete počkat? Chápeme a je to v pořádku, jen si to promyslete, co a jak pak chcete dělat. Celkově je nedostatek odborníků, kteří Vám s kybernetickou bezpečnosti pomůžou anebo pro Vás budou vykonávat zákonem vyžadované role. Těch podle nedávného výzkumu v Evropě chybí přes 350.000, tak abyste pak nenaletěli na spásná řešení zabalená v mašličce, za která si zbytečně připlatíte.
