Náš partner Jan Zajíček se v rámci diskuse Týdeníku Ekonom o směrnici NIS2 zaměřil na zásadní aspekty kyberbezpečnosti. Podtrhl, že správné nastavení procesů, organizace práce a implementace vhodných technických prostředků je klíčové pro zajištění kontinuity poskytovaných služeb a že NIS2 není jen o kybernetické bezpečnosti, ale o ochraně celého core businessu firmy.

Klíčovou ambicí NIS2 je posílení kybernetické odolnosti jednotlivých členských států a firem podnikajících v EU. Zahrnuje také opatření k ochraně dodavatelských řetězců a podporuje prevenci a detekci potenciálních kybernetických útoků. NIS2 tak poskytuje legislativní nástroj pro posílení kyberbezpečnosti v Evropě, podporuje spolupráci mezi členskými státy a klade důraz na včasné informování a komunikaci vůči všem obchodním partnerům i vůči státu.

Podle Jana Zajíčka je zásadní si uvědomit, že kyberbezpečnost není pouze otázkou IT. „Základní rozdíl mezi stávající regulací a NIS2 je v zaměření se na ochranu kontinuity celého byznysu. Nová legislativa se odklání od IT a směřuje k zabezpečení core businessu dané firmy. V tomto kontextu je IT pouhou podmnožinou,“ vysvětluje.

Zajíček rovněž ocenil dosavadní práci NÚKIB. „V českých poměrech jsem nezažil oborový zákon, který by byl tak dobře komunikován ve všech jeho přípravných fázích. NÚKIB mimo jiné obchází subjekty, na které legislativa dopadne a pořádá panelové diskuze. Nedávno navíc zveřejnil deset tzv. factsheet, na základě kterých si i laik dovede velmi dobře udělat představu o povinnostech spojených s NIS2.“

Náš partner dále zdůraznil rozdíly v dopadu NIS2 na velké korporace a střední podniky. „Pro holdingy, v rámci kterých jsou některé firmy už nyní v režimu vyšších povinností, je implementace NIS2 především o kapacitách, nikoliv o chybějícím know-how. Středně velké podniky, na které budou povinnosti dopadat nově, budou řešit nejen chybějící know-how, ale primárně chybějících kapacity.

Jedno z hlavních rizik vidí Jan Zajíček v podcenění příprav na implementaci povinností. „Bojím se, že řada firem bude mít tendenci ze svých IT specialistů dělat specialisty na kybernetickou bezpečnost. Obávám se, že na takovou strategii by hodně firem mohlo doplatit. Přístup „ty máš na starosti správu sítě, tak řešíš i její ochranu“ je nejen utopický, ale doslova nebezpečný. Je to jako svěřit staviteli i stavební dozor. To normální člověk neudělá. Za sebe bych proto doporučoval zodpovědnější přístup a již nyní bych začal do rozpočtů kalkulovat zvýšené náklady na přípravu všech potřebných procesů a implementaci technických prostředků.“

NIS2 má ambici firmy posunout k roli osvíceného podnikatele, který chápe nejen svůj hlavní byznys, ale také potenciální kybernetické hrozby, které mu jeho business mohou velmi rychle „rozbít“. „Základem je prevence, teprve pak může přijít ke slovu detekce a v případě incidentu reakce. Samozřejmě, že se kybernetické útoky nedají zcela eliminovat, ale lze ovlivnit, jak snadno mohou útoky uspět a jak zásadní dopad na můj business budou mít.“

„NIS2 v podstatě nařizuje to, co by měl podnikatel běžně dělat, ale protože ho to stojí peníze a není to jeho core business, tak to nedělá,“ uzavírá Jan Zajíček.

Celou debatu Týdeníku Ekonom najdete zde