Návrh zákona o kybernetické bezpečnosti: Vyjádření legislativní rady vlády

Vyjádření legislativní rady vlády k návrhu zákona o kybernetické bezpečnosti (dle NIS2)

V čtvrtek 4. dubna se Legislativní rada vlády vyjádřila k Novému návrhu zákona o kybernetické bezpečnosti a doporučila jeho přepracování. Dle dostupných zdrojů směřovala kritika zejména vůči zakotvení povinností pro poskytovatele regulovaných služeb v prováděcích právních předpisech (vyhláškách) nikoliv zákoně a již dříve kritizované úpravě prověřování dodavatelských řetězců. Na sociálních sítích se rozjela bouře plná informací o „konci nového zákona o kybernetické bezpečnosti“. Je tomu opravdu tak?

Pojďme se na to podívat možná i z jiného pohledu.

Tedy co dál?

Slovní vyjádření povinností se možná částečně změní, jejich obsah ale zůstane obdobný. V tomto ohledu bylo ze strany LRV kritizováno prakticky jen prověřování dodavatelských řetězců. Úprava NIS2 (právní základ nového zákona o kybernetické bezpečnosti) vychází z mezinárodní normy ISO 27001, která zakotvuje dobrou a osvědčenou praxi.

Praktický rozdíl v tom, zda bude povinnost užívat nástroj pro zaznamenávání událostí na koncových stanicích a serverech stanovena vyhláškou či zákonem je pro ty, kdo jej používají, minimální.

to všechno jsou témata, která by měla organizace řešit bez ohledu na to, co říká zákon. 

Pokud je to pro fungování firmy důležité, nepotřebuje k řešení kybernetické bezpečnosti zákon, ale management, který si její důležitost uvědomí.

Kybernetická bezpečnost nemá být jen byrokratickou překážkou

Řízení kybernetické bezpečnosti je přitom možné nastavit tak, aby dané náklady, procesy a postupy, dávaly společnosti ekonomický smysl. A přesně to je naším cílem v Cybrele.

V Cybrele nebereme kybernetickou bezpečnost jako byrokratickou překážku, jako mnozí kritici chystaného zákona. Ani nemá být vnímána jako brzda byznysu, kterou je nutné si „odbýt“ kvůli zákonným požadavkům a možným sankcím.

Naopak. Cílem kybernetické bezpečnosti je, aby společnost fungovala co nejefektivněji. Vývoj v oblasti informačních technologií způsobil, že dnes jsou prakticky všechny organizace, napříč širokým spektrem odvětví, na informačních systémech nebo výpočetních technologiích závislé. Nejedná se pouze o služby, kde využití těchto technologií očekává každý, jako je například energetika, bankovnictví, poskytování komunikačních služeb, ale taktéž třeba doručování dodávek, výrobu zboží, vyřizování objednávek od zákazníků či zpracování faktur.

Zohlednění kybernetické bezpečnosti v rámci procesu fungování určité společnosti je zejména uvědomění si důležitosti jednotlivých činností, které se v běžném provozu společnosti objevují a zhodnocení jakým způsobem, v jaké míře a na čem je tato činnost závislá.

Výsledkem je stanovení důležitosti činností, vyhodnocení závislostí mezi činností a výpočetními technologiemi, na kterých funguje a přijetí opatření v případech, kdy se rizika budou jevit jako příliš vysoká. Součástí kybernetické bezpečnosti je popis těchto procesů.

Ve svém důsledku informační bezpečnost připraví organizaci na problémy spojené s jejich informačními aktivy, které by ovlivnily její schopnost fungovat a vydělávat peníze.  Stanovení bezpečnostních opatření pak do určité míry slouží jako prevence pro předcházení kybernetických hrozeb a incidentů či zmírnění jejich dopadů. Ty by v případě, že by nastaly, mohly dané společnosti přinést mnohonásobně větší finanční a jiné újmy (např. reputační riziko) než samotná investice do kybernetické bezpečnosti.

Co s tím? Můžu si kybernetickou bezpečnost smazat ze svého ,,TO-DO listu? 

Pár myšlenek na závěr:

Zavedení právních povinností k dodržování kybernetické bezpečnosti možná přispěje k její celkové vyšší úrovni. Důležité ale je, aby organizace měly v kybernetické bezpečnosti pořádek. V dnešním světě, kdy je s IT propojeno prakticky vše, je nutné mít o kybernetické bezpečnosti obdobný přehled, jako třeba o financích. Znát souvislosti, co jaké hodnoty znamenají a jak s nimi do budoucna pracovat tak, aby organizace fungovala lépe.

To, že se posouvá platnost Nového zákona o kybernetické bezpečnosti je tak příležitostí zejména pro organizace. Ty mohou vše lépe naplánovat, rozložit v čase a neotálet. Využití dodatečného času k odložení investice do kybernetické bezpečnosti z pozice „není to potřeba“ je pak spíše příležitostí pro útočníky využívat nepřipravenosti déle.

Chcete počkat? Chápeme a je to v pořádku, jen si to promyslete, co a jak pak chcete dělat.  Celkově je nedostatek odborníků, kteří Vám s kybernetickou bezpečnosti pomůžou anebo pro Vás budou vykonávat zákonem vyžadované role. Těch podle nedávného výzkumu v Evropě chybí přes 350.000, tak abyste pak nenaletěli na spásná řešení zabalená v mašličce, za která si zbytečně připlatíte.

Buďte připraveni

Pomůžeme Vám s praktickou přípravou Vaší společnosti na nový zákon o kybernetické bezpečnosti

Další články

Plány jako jsou BCP, DRP nebo plán zvládání rizik zajišťují kybernetickou bezpečnost a pomáhají udržet kontinuitu činností. Co by měly obsahovat?
Pusťte si podcast s Katkou Hůtovou, která vás provede připravovanými změnami podle nového zákona o kybernetické bezpečnosti.
Krizová komunikace během kybernetického útoku by měla být rychlá, transparentní a konzistentní, aby minimalizovala škody a udržela důvěru všech zainteresovaných stran. Jak na to?

Newsletter

Chcete mít jistotu, že Vaše firma je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.

Kliknutím na odeslat vyjadřujete souhlas se zpracováním osobních údajů pro marketingové účely.