Tisíců tuzemských firem se v příštím roce dotkne zákon, který určí, jak se budou muset chránit před kybernetickými útoky. Pro firmy, které se svému zabezpečení doposud příliš nevěnovaly, může být zavedení nutných opatření velmi nákladné. Podle předpokladů přitom bude zákon představovat spíše minimální míru zabezpečení a firmy by měly být v kybernetické ochraně ve vlastním zájmu důslednější. Měly by se kybernetické ochraně věnovat dlouhodobě, jednorázová investice nestačí.
CompliancePrávo12 listopadu, 2024
Firmy by neměly vyčkávat na to, co jim přikáže zákon o kybernetické bezpečnosti
Zejména státní správa, zdravotnický segment a středně velké firmy v českém vlastnictví často vyčkávají na konkrétní legislativní pojetí zákona o kybernetické bezpečnosti a vůbec ne na to, zdali se jich povinnost bude týkat. I tyto subjekty by se každopádně měly před hackerskými útoky chránit, a to již nyní. Bez správného zabezpečení jim při úspěšném kybernetickém útoku hrozí až milionové finanční ztráty, případně i reputační problémy.
Zákonná povinnost bude vycházet z evropské směrnice NIS2, kterou se Česko společně s ostatními unijními státy zavázalo přijmout nejpozději do 17. října letošního roku, a to v rámci připravovaného zákona o kybernetické bezpečnosti. Již nyní je ovšem jasné, že zákon stihne nabýt účinnosti nejdříve až v lednu 2025.
Jeho přijetí se protáhne i z toho důvodu, že začátkem dubna vrátila Legislativní rada vlády návrh zákona Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) s připomínkami k přepracování. Očekává se, že u návrhu zákona se upraví řada detailů, nicméně hlavní povinnosti pro firmy zůstanou beze změny a měly by s nimi proto již teď předběžně počítat. Zákon se celkově dotkne minimálně šesti tisíc firem, v závislosti na parametrech může jít dokonce až o dvojnásobný počet.
Pro firmy bude nová povinnost znamenat nejprve vytvoření dokumentů, které budou stanovovat postupy a chování organizace v souladu s novým zákonem o kybernetické bezpečnosti. Očekávají se výdaje řádově ve stovkách tisíc korun. Druhým krokem bude zavedení technických bezpečnostních opatření. Pokud firma nemá dosud žádná technická opatření, náklady se mohou pohybovat v rozmezí vyšších stovek tisíc až jednotek milionů korun. K tomu se přičte následná podpora těchto technologií v dalších letech jejich provozu. Firmy by měly mít na paměti udržování aktivní ochrany a potřebného financování dlouhodobě. Stává se, že sice mají v pořádku nastavené procesy i dokumentaci, jenže samotná praxe za tím zaostává, čímž se firma zbytečně dostává do rizika.
Až budou mít firmy svou ochranu nastavenou, měly by svou odolnost vůči útokům prověřit – externími testy zranitelnosti anebo tzv. penetračními testy. Zároveň by si firmy měly v kritických systémech udělat audit toho, jaké mají dodavatele, jak ti jsou zabezpečeni a jaká u dodavatelů existují rizika.
Kybernetické útoky jsou stále komplexnější a zákeřnější, pro firmy je tak zásadní sledovat aktuální trendy, aby se před nimi mohly chránit a mohly správně proškolit své zaměstnance. Jednou z relativních novinek je vylákání citlivých údajů už ne za pomoci širokého a relativně nahodilého posílání spamů, ale díky zacílení na konkrétního zaměstnance. Metoda nazývaná spear phishing spočívá ve vytipování lidí, jejichž údaje jsou nejcennější, kterým útočníci pošlou zprávu přesně na míru, aby zvýšili pravděpodobnost úspěchu a vylákali z nich, co potřebují.
Autor:
Tomáš Kubíček
Partner, Digital Services • Advisory, BDO Česká republikaTomáš Kubíček
Tomáš Kubíček je partnerem v BDO od roku 2015. Vystudoval Vysokou školu ekonomickou v Praze. Celý svůj profesní život se věnuje poradenské činnosti v oblasti IT a v manažerském poradenství. Před nástupem do BDO prošel několika globálními poradenskými a IT společnostmi, kde realizoval celou řadu projektů v Čechách i v rámci Evropy. Specializoval se na rozsáhlé transformační projekty, adopci technologií firmami, digitální transformaci firem, procesní změny jakož i na zvyšování výkonnosti.
V BDO je díky svým zkušenostem zodpovědný za IT poradenství nadnárodním společnostem, jakož i vybraným klientům veřejné správy a zdravotnictví. Zaměřuje se na digitální transformaci pomáhající klientům lépe využívat dostupné technologie a data pro lepší obsluhu zákazníků, pro lepší rozhodování a samotné řízení firmy včetně souvisejících změn v procesech, postupech a firemní kultuře.