NIS 2 není o dobrovolnosti, je to povinnost, říká expert Petr Ptáček

07. 05. 202319:15
NIS 2 není o dobrovolnosti, je to povinnost, říká expert Petr Ptáček
foto: Jan Holoubek, PrahaIN.cz/Petr Ptáček, S.ICZ

ROZHOVOR: Evropská unie přijala v roce 2016 směrnici o bezpečnosti sítí a informacích, tzv. směrnici NIS. Tím byl položen základ k zvýšení bezpečnosti sítí a informačních systémů zajišťujících důležité služby napříč členskými státy. Nyní přichází Evropská unie s prohloubením a rozšířením tohoto rámce, který reprezentuje nová směrnice o kybernetické bezpečnosti NIS2. Je důvod zpozornět?

K tématu směrnice, která se přímo dotkne řádově vyšších stovek českých firem, jsme se rozhodli udělat rozhovor s ředitelem společnosti S.ICZ Petrem Ptáčkem. Firma mimo jiné navrhuje architekturu zabezpečených informačních systémů.

Koho se aplikace směrnice NIS2 přímo dotkne?

Směrnice se přímo dotkne stovek českých firem napříč obory. Hodnotící kritéria pro to, které společnosti budou muset aplikovat nařízení vyplývající z NIS2, vycházejí primárně z významu dané společnosti pro bezproblémové fungování státu, například těch firem, které se podílí na fungování kritické infrastruktury. Druhým kritériem je velikost konkrétní firmy, týká se to všech středních a velkých firmem, zjednodušeně těch, které mají více než 50 zaměstnanců a zároveň obrat větší než 10 milionů euro.

Pokud je alespoň jedno z uvedených kritérií splněno, vnímáme to tak, že daná společnost bude muset naplnit požadavky směrnice NIS2.

Pro organizace, které už spadají pod Zákon o kybernetické bezpečnosti, se toho pravděpodobně tolik nezmění. Zajímavější to bude pro organizace, jako například podniky v oblasti výroby, potravinářství, poštovních služeb, výzkumu, poskytovatelé komunikačních linek, DC, cloud computingu a odpadního hospodářství.

Mají firmy dost času na přípravu?

Naše klienty již nějakou dobu upozorňujeme, že je nutné se na implementaci této směrnice začít připravovat co nejdříve.  Ačkoliv věřím, že NÚKIB bude zpočátku shovívavý, stejně tak jako v ostatních případech, bude i v případě NIS2 neplnění ze strany povinných subjektů dříve či později postihováno. A to jak finančními sankcemi, tak i správními tresty, mezi něž patří například pozastavení platnosti certifikace či pozastavení výkonu řídicí funkce. Nelze to brát na lehkou váhu.

Co musí podniky, kterých se povinnosti vyplývající ze směrnice týkají, udělat?

V první řadě by měly provést analýzu současné politiky bezpečnosti informací. V podstatě bezpečnostní audit. Vedení těchto podniků musí chápat kybernetickou bezpečnost jako jeden z pilířů jejich byznysu. Osobně to vnímám tak, že základem kyberbezpečnosti je především prevence. Předcházet bezpečnostním incidentům je výrazně levnější než řešit jejich následky. Takže podle mého názoru by mělo vedení společností začít aktivně budovat politiku rozvoje a údržby systémů, prostě dělat maximum pro zabezpečení citlivých dat, která jsou pro každý byznys to nejcennější. Všechny důležité okruhy bezpečnostních opatření jsou poměrně dobře vymezeny právě ve směrnici NIS2. Rád bych ještě zdůraznil, že nezbytnou pomůckou pro kvalitní řízení kybernetické bezpečnosti jsou v každé firmě pravidelná školení všech zaměstnanců, a především vrcholového managementu.

Bude implementace NIS2 pro firmy nákladná?

To závisí hlavně na tom, jak kvalitně mají dotčené subjekty vyřešeny otázky kyberbezpečnosti nyní. Ale já se na to dívám ještě z jiného úhlu pohledu. Při řádném splnění všech povinností, které ze směrnice vyplývají, to bude vždy levnější, než když je firma nesplní a bude následkem toho sankcionována. Naplnit normy NIS2 není otázkou dobrovolnosti.

Myslíte si, že nás v následujících letech čeká nějaká další podobná směrnice?

Odvětví informačních technologií je vůbec nejrychleji se vyvíjející. Je proto vysoce pravděpodobné, že evropská legislativa bude průběžně reflektovat aktuální hrozby v kyberprostoru a přizpůsobovat jim následná nařízení či doporučení.

Jak vy jako profesionál řešíte bezpečnost svých dat?

V první řadě se snažím nenosit kritická data na úložištích přenosných zařízení i přesto, že mám všechna přenosná zařízení vždy kvalitně zašifrovaná. Některá data ukládám na zabezpečené cloudové úložiště. Nehrozí tak ani jejich fyzická ztráta, ani to, že se někomu podaří je po čase dešifrovat. Pro přenosy dat vždy používám kvalitní šifrovací nástroje. Samozřejmostí identifikace uživatele je u mě vždy vícefaktorové ověření. A hlavně nepodceňuji prevenci.

Tagy

Speciály

Kudy kráčel zločin
Tajnosti slavných