Hlavní navigace

BDO: NIS2 přichází, před hackerskými útoky se budou muset obrnit tisíce firem

4. 5. 2023
Doba čtení: 3 minuty

Sdílet

 Autor: @ tanaonte - Fotolia.com
Nový zákon o kybernetické bezpečnosti pro tisíce firem definuje způsob, jak se chránit.

Libor Šrám ze společnosti BDO ve svém komentáři o novém zákonu o kybernetické bezpečnosti zdůrazňuje, že riziko kyberhrozeb neustále narůstá. Zvláště pro firmy, které neinvestují do odolnosti své digitální infrastruktury, to podle něj představuje značné riziko.

Například kupříkladu počet útoků s cílem prolomit uživatelská hesla za minulý rok podle údajů Microsoftu vzrostl o 74 % a zejména požadavky na výkupné se v souvislosti s ransomwarovými útoky více než zdvojnásobily.

Co se dozvíte v článku
  1. Na scénu přichází NIS2
  2. Regulace se může dotknout i malých firem
  3. Jasné vymezení rolí
  4. Pravidelné audity i inspektoři
  5. Pokuty až čtvrt milionu

Na scénu přichází NIS2

Zvýšit odolnost českých firem by podle Šráma měla vznikající zákonná úprava, jež vychází z evropské směrnice NIS2 přijaté v prosinci 2022. Ta zavazuje subjekty v rámci EU, aby zajistily bezpečnost svých sítí a informačních systémů.

Tuzemský zákon, který aktuálně prochází připomínkovým řízením a s jehož účinností se předběžně počítá od druhé poloviny roku 2024, však bude podle odborníka v mnoha ohledech přísnější.

Již nyní je navíc zřejmé, že se bude odhadem týkat minimálně šesti tisíc podniků, zatímco pod dosavadní zákon týkající se kybernetické bezpečnosti spadalo pouze okolo 400 subjektů. Spekuluje se zároveň o tom, že finální číslo může ještě o pár tisícovek narůst,“ říká Šrám.

Regulace se může dotknout i malých firem

BDO zdůrazňuje, že vznikající zákon o kybernetické bezpečnosti se bude týkat zejména odvětví energetiky, dopravy, zdravotnictví, nakládání s vodou a odpady. Dále se dotkne digitální infrastruktury a poskytování digitálních a ICT služeb, veřejné správy či výroby, zpracování a distribuce potravin.

Stejně tak jako výroby počítačů nebo elektronických a optických zařízení. Podniky z těchto oblastí, které mají více než 50 zaměstnanců nebo dosahují ročního obratu alespoň 10 milionů euro (zhruba 250 milionů korun), mají téměř jisté, že se jich nová regulace bude týkat.

Kromě velkých a středních podniků by podle Šráma měly zbystřit i menší firmy, pokud jsou součástí holdingu. Zákon je totiž nebude posuzovat jednotlivě, ale spolu s ostatními firmami ve skupině jako celek.

Zákon se bude vztahovat i na všechny organizace, které jsou jedinými poskytovateli služby, která je nezbytná ze sociálního nebo ekonomického hlediska anebo by narušení jejich služby mohlo mít významný dopad na veřejnou bezpečnost, zdraví osob nebo by mohlo vyvolat významné riziko zejména s přeshraničním dopadem, a to bez ohledu na velikost.

Jasné vymezení rolí

Šrám dále vysvětluje, že podniky si ze zákona budou muset stanovit rozsah řízení kybernetické bezpečnosti, konkrétně to bude znamenat například jasné určení bezpečnostních rolí, jako je manažer, auditor, architekt kyberbezpečnosti a garant aktiva.

Rozsah opatření bude podle odborníka vždy záviset na tom, zdali podnik bude spadat do režimu vyšších, nebo nižších povinností. Do prvně zmíněné zákon rozřadí zpravidla 400 klíčových organizací, na které již nyní dohlíží stát a podléhají kybernetické regulaci.

Ty budou muset zároveň řešit odolnost před kybernetickými hrozbami i u svého dodavatelského řetězce. Do režimu nižších povinností potom budou spadat všechny ostatní podniky, kterých se regulace dotkne.

Pravidelné audity i inspektoři

Dále zákon přinese povinnost implementovat specifická bezpečnostní opatření s cílem zvýšit ochranu informačních systémů a dat. Tato opatření mohou být jak organizační formou procesů a politik, tak technická ve formě nástrojů pro zajištění bezpečnosti sítí, aplikací nebo datových úložišť.

Všechna bezpečnostní opatření budou ze zákona podléhat pravidelným auditům. U podniků v režimu nižších povinností je budou vykonávat pověření inspektoři, kteří budou muset složit certifikační zkoušku dle doplňkové vyhlášky o inspektorech,“ vysvětluje Šrám.

Ta mimo jiné definuje i nezbytně nutné vědomostní požadavky pro výkon funkce. V režimu vyšších povinností půjde přímo o inspektory dozorového orgánu, kterým je Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

Firmy také budou muset hlásit všechny zaznamenané kyberbezpečnostní útoky, a to právě NÚKIBu. Součástí tohoto incident managementu je i podávání zpráv o průběhu incidentu, jeho dopadech a protiopatřeních k jeho řešení a současně informování vlastních zákazníků.

Pokuty až čtvrt milionu

Společnost BDO v neposlední řadě upozorňuje, že při nedodržení zákonných povinností hrozí firmám sankce, které jsou rozlišeny podle režimu plnění povinností. Organizacím ve vyšším režimu hrozí za přestupek pokuta do 250 milionů korun, nebo do výše 2 % čistého celosvětového ročního obratu.

soutez_casestudy

Subjekty v nižším režimu plnění povinností mohou dostat pokutu do 175 milionů Kč, nebo do výše 1,4 % čistého celosvětového ročního obratu. Rozhodující je v obou případech vyšší částka,“ uzavírá Šrám.

Zdroj: BDO

Byl pro vás článek přínosný?

Čtěte dále

Eset: Útočníci zneužívají ke krádeži dat falešné AI aplikace
Eset: Útočníci zneužívají ke krádeži dat falešné AI aplikace
IT systémy po celém světě zaznamenávají výpadky
IT systémy po celém světě zaznamenávají výpadky
IDC: Evropské podniky zvýší investice kvůli hrozbám souvisejícím s LOH
IDC: Evropské podniky zvýší investice kvůli hrozbám souvisejícím s LOH
GFI Software: Uživatele nejspolehlivěji oklame phishingový e-mail o nezaplacené faktuře
GFI Software: Uživatele nejspolehlivěji oklame phishingový e-mail o nezaplacené faktuře
Velké změny v českém maloobchodu, Electro World se mění na Datart
Velké změny v českém maloobchodu, Electro World se mění na Datart
TD Synnex je distributorem roku Dell Technologies pro region EMEA
TD Synnex je distributorem roku Dell Technologies pro region EMEA