Na konci tohoto roku vstoupí v platnost novela evropské směrnice o bezpečnosti sítí a informací (NIS2).

Přinese s sebou novou výzvu, na kterou není trh tak docela připraven. O co jde? To nám vysvětlil expert na kybernetickou bezpečnost Ing. Aleš Špidla.

O čem že to vlastně NIS2 je? Říká, že zajištění kybernetické a informační bezpečnosti je čím dál tím významnější součástí všech procesů v instituci. „Nicméně neustále platí,“ říká bezpečnostní expert Ing. Aleš Špidla, „že kybernetická a informační bezpečnost není otázkou zákonů, ale je otázkou pudu sebezáchovy.“

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) zřídil specializované internetové stránky, které se problematikou NIS2 a hlavně jejími dopady zabývají. Mezi nejvýznamnější změny podle vyjádření NÚKIB na zmíněných stránkách patří:

• rozšíření počtu povinných osob (odhady hovoří o nejméně 6 000 soukromých i státních organizacích), a to jednak rozšířením regulovaných odvětví (např. odvětví odpadového hospodářství), dále rozšířením stávajících regulovaných odvětví o nové regulované služby (např. stávající odvětví digitální infrastruktury o nové regulované služby cloud computingu nebo poskytovatele služeb a sítí elektronických komunikací), a nebo změnou způsobu identifikace povinných osob (kdy primárním kritériem pro zařazení do regulace bude velikost organizace);
• povinné vzdělávání vrcholového vedení organizace a větší odpovědnost managementu za zajišťování kybernetické bezpečnosti v organizaci;
• dobrovolné hlášení relevantních incidentů, událostí, hrozeb a zranitelností;
• podrobnější požadavky na vedení registru internetových domén nejvyšší úrovně a činnost registrátorů;
• větší důraz na sdílení informací mezi povinnými organizacemi;
• prohloubení spolupráce mezi regulátorem a povinnými organizacemi;
• významné zvýšení pokut za nedodržení uložených povinností (nově se stanovuje úroveň pokut až ve výši 2 % celkového obratu společnosti nebo 10 milionů EUR).

Co to bude znamenat v praxi, až vstoupí NIS2 na konci letošního roku v platnost? „V první řadě během následujících 21 měsíců bude muset být harmonizována národní legislativa, která kybernetickou a informační bezpečnost reguluje, zejména tedy zákon 181/2014 Sb. o kybernetické bezpečnosti a navazující předpisy. Asi největší problém způsobí rozšíření počtu povinných osob, tedy těch institucí (firem, státních organizací) které tzv. spadnou pod zákon o kybernetické bezpečnosti,“ vysvětluje bezpečnostní expert Aleš Špidla a k tomu dodává, že tato opatření zvednou i personální otázky: „Nárůst z cca 360 na 6000 způsobí obrovské zvýšení poptávky po odbornících na kybernetickou bezpečnost. Tím nejsou myšleni jen ti, kteří kybernetickou a informační bezpečnost řeší na technologické úrovni. Větší problém je v hledání těch, kteří umí kybernetickou a informační bezpečnost zavést, provozovat, řídit a neustále rozvíjet.“

Tyto odborníky však vychovává jen jedna škola v České republice, a tou je CEVRO Institut sídlící v Praze a Českém Krumlově.

Kybernetická a informační bezpečnost není jen záležitost nasazení technických opatření, ale je i o změně procesů od těch řídících až po provozní. Proto je velmi důležitý i výše uvedený bod, viz NÚKIB, který hovoří o povinném vzdělávání vrcholového vedení organizace.

„Je však velmi těžké přesvědčit vedení o tom, že něco neví a také o tom, že je tato oblast v jeho přímé a plné zodpovědnosti,“ stýská si Aleš Špidla. „Zaznamenal jsem velmi časté úporné snahy přesunout zodpovědnost na nešťastníky z oddělení IT, což je naprosto zcestný postup. Problém je možná v tom, že i přesto, že škody způsobené zanedbáním kybernetické a informační bezpečnosti jdou do stovek milionů Kč, nikdo z vedení postižených organizací za to nebyl potrestán. A ne že bychom na to neměli použitelnou legislativu. Tak snad zvýšení pokut za zanedbání povinností bude to motivací pro vedení organizací. Pokud tedy bude pokuta někdy někomu udělena.

Další problém, který není v dopadech NIS2 na stránkách NÚKIB zmíněn,“ pokračuje expert, „je odklon od bezhlavého nakupování škatulí (SIEMy, Firewaly apod) ke zdůvodnění navrhovaných a aplikovaných opatření pečlivou analýzou rizik. A tady opět máme personální problém. Analýza rizik je nikdy nekončící proces, který se musí provádět pravidelně, nebo při každé významné změně. Například přesunu vašich informačních systémů do cloudu musí předcházet velmi pečlivá analýza rizik. Ta by měla předcházet jakékoliv změně, která má vliv na procesy v organizaci. V některých případech stačí dokumentované mentální cvičení. Dobré ovšem je i při tomto mentálním cvičení držet se zásad řízení informačních rizik. Kdo to ale umí? Většinou jsem se v praxi setkal s riskaři, kteří dokázali zpracovat analýzu rizik v případě povodní, požárů, zemětřesení apod. Informační rizika jim ovšem nic neříkají.“

Z toho lze vyvodit, že lze opět očekávat velkou převahu poptávky nad nabídkou odborníků na řízení informačních rizik. „Což znamená dovzdělat ty klasické odborníky na řízení rizik, ale hlavně začít vychovávat nové, orientované na informační rizika,“ vysvětluje Špidla. „Dá se totiž předpokládat, že každá střední až velká organizace je bude potřebovat na plný úvazek. Vzdělávací instituce tedy mají prostor k zamyšlení a také málo času k hledání pedagogů, kteří zvládnou vyučování problematiky řízení rizik. Ono to není jen o tom, nastudovat si literaturu. Je to i o praxi.“

Ing. Aleš Špidla je čestným předsedou Českého institutu manažerů informační bezpečnosti, garantem a pedagogem MBA programu „Management a kybernetická bezpečnost“ a spolugarantem a pedagogem LL.M. studijního programu „Ochrana informací“.

Zdroj: NÚKIB, epravo.cz, AN