Zhruba šest tisíc českých firem bude nově muset splňovat vyšší standardy kybernetické bezpečnosti. Počítá s tím evropská legislativa, kterou představil Národní úřad pro kybernetickou bezpečnost (NÚKIB) a která začne platit přibližně za dva roky. Norma zavádí vyšší ochranu počítačových systémů, současně také přísnější tresty a vztahovat by se měla mimo jiné na poskytovatele poštovních služeb nebo distributory vody.
Parametry nové legislativní úpravy jsou dosud známé jen v obecnější obrysech a také NÚKIB chce o chystaných změnách iniciovat odbornou debatu. Přesná textace unijního předpisu známého jako směrnice NIS2 by měla být známá v horizontu několika měsíců, začátek platnosti se očekává mezi říjnem a prosincem. Členské státy EU pak mají na zavádění normy patnáct měsíců.
V Unii nicméně už nyní panuje obecná shoda na tom, že je vyšší ostraha a tedy i odolnost počítačových systémů potřebná – ostatně právě na to nový předpis cílí, když výrazně rozšiřuje pole, kterého se kybernetické předpisy týkají.
Dosud je muselo plnit asi čtyři sta subjektů, nyní to bude asi patnáctkrát tolik. Trojnásobně se totiž rozšiřuje počet odvětví, na které se ochrana před hackery vztahuje. Bezpečnostní standardy budou nově platné i pro distributory vody, výrobce počítačů, motorových vozidel nebo poskytovatele poštovních služeb.
Bezpečnější přihlašování
Dotčené firmy budou muset zavést preventivní opatření, aby pokud možno nedocházelo k bezpečnostním incidentům, čili například zvýšit bezpečnostní opatření pro přihlašování do aplikací.
„Nebude to klasické jméno a heslo, ale půjde o něco, co zná běžný občan třeba z internetového bankovnictví, to znamená, že jednak zadává jméno a heslo a jednak má nějaký další faktor, například mobilní telefon, který ještě ověřuje tu jeho identitu,“ přibližuje ředitel odboru regulace NÚKIB Adam Kučínský.
Pokud už k incidentu dojde, musí mít firmy nastaveny postupy, aby potíže zvládly, tedy například určen plán, jak organizaci navrátit k provozu. Směrnice řeší i otázku bezpečnosti dodavatelského řetězce nebo povinnost interního auditu zavedených opatření.
Tresty a kontroly
„Jsme zvyklí, že na úrovni internetového bankovnictví to dvoufaktorové ověřování funguje, ale u daleko důležitějších systémů, často na úrovni státu, je bohužel praxe odlišná,“ komentuje nutnost změn výkonný ředitel Asociace kritické infrastruktury ČR Michal Moroz.
Významně se proto zvyšuje i penalizace. V krajním případě může dosáhnout až deseti milionů eur nebo dvou procent celosvětového ročního obratu firmy, organizacím může být také pozastavena licence nebo fyzickým osobám zakázán výkon funkce statutárního zástupce.
Kontroly bude mít v Česku na starosti NÚKIB, což pro úřad bude znamenat nárůst práce. „Jsme si vědomi, že změna je poměrně podstatná. Na druhou stranu už nyní řada organizací řeší kybernetickou bezpečnost dobrovolně, protože je to prostě nezbytné,“ dodal ředitel Lukáš Kintr a zdůraznil, že úřad se bude snažit organizacím maximálně pomoct a usnadnit jim plnění povinností.
