Podvodné e-maily, škodlivé kódy v infrastruktuře nebo zahlcení serverů. Po půl roce fungování nového zákona o kybernetické bezpečnosti už menší firmy státu nahlásily 27 útoků, řekl České televizi mluvčí Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Jakub Neščivera. Zákon platí od loňského listopadu a rozšířil počet firem, které musí státu hlásit kybernetické incidenty. Zástupci podnikatelů mluví o vyšších finančních nákladech.
Počet hlášených kybernetických incidentů podle nového zákona je zatím u velkých i malých firem podobný. „Evidujeme 33 hlášení bezpečnostních incidentů od subjektů ve vyšším režimu povinností a 27 hlášení incidentů od subjektů v nižším režimu povinností. Dále ještě 30 dobrovolných hlášení od občanů a organizací,“ popisuje mluvčí NÚKIB Jakub Neščivera.
Od některých velkých firem pak úřad dostává hlášení ještě podle starého zákona. „Subjekty povinné podle nového zákona se stále nacházejí v přechodném období, které trvá jeden rok, a režim hlášení incidentů ještě není plně ustálený. Podle starého zákona evidujeme ve frontě šestnáct hlášení,“ doplnil Neščivera.
Nový zákon o kybernetické bezpečnosti rozšířil okruh firem, které musí hlásit bezpečnostní narušení, i na střední a menší podniky. Firmy jsou rozdělené do dvou režimů – vyšších a nižších povinností. Do vyššího režimu spadají velké nebo strategicky významné podniky.
Do nižšího patří střední a menší firmy nebo takové, které se sice pohybují v regulovaných odvětvích, ale nemají klíčový dopad na společnost.
Regulované jsou služby například v oblasti energetiky, dopravy, zdravotnictví nebo potravinářského průmyslu. Kritériem pro zařazení firmy pak nemusí být jen počet zaměstnanců, ale například i roční obrat nebo odvětví, ve kterém firma působí.
Regulace se stále rozjíždí
Rozdíl mezi vyšším a nižším režimem je pak zejména v typu incidentů, které mají firmy povinnost ohlašovat. Ve vyšším režimu hlásí všechny úmyslné kybernetické incidenty. V nižším režimu musí firmy hlásit jen významné incidenty. Významnost přitom posuzuje samotná organizace. Mezi typicky nahlašované situace patří únik dat, zahlcení serverů, podvodné emaily nebo nález škodlivého kódu v infrastruktuře.
Počet firem, kterých se bude nový zákon týkat, NÚKIB dlouhodobě odhadoval na šest až deset tisíc. Aktuální číslo registrovaných organizací se po sedmi měsících blíží spíš nižší hranici. „Evidujeme přibližně 5768 regulovaných subjektů, které splnily ohlašovací povinnost podle tohoto zákona,“ uvádí Neščivera. Na registraci měly firmy šedesát dní od spuštění zákona, tedy do konce minulého roku. Následně mají rok na to, aby zavedly příslušná bezpečnostní opatření.
Odborníků na kybernetiku je málo
Roční přechodné období začíná pro firmy v momentě, kdy jim NÚKIB doručí rozhodnutí o registraci. Od stejné chvíle musí také do třiceti dnů najít kontaktní osobu, která bude fungovat jako bezpečnostní správce.
Podle místopředsedy Asociace malých a středních podniků a živnostníků (AMSP) Karla Dobeše se ale organizace často potýkají právě s nedostatkem expertů. „Kvalitních odborníků na kybernetickou bezpečnost není na trhu dostatek a pro menší a střední firmy může být obtížné získat takového člověka interně. Proto předpokládáme, že značná část firem bude využívat externí služby, například formou konzultací,“ domnívá se.
Dokud nebude jedna kontaktní osoba spravovat desítky organizací, není to podle NÚKIB problém. „Pokud by se stávalo, že dojde k nadměrné kumulaci odpovědnosti u jedné osoby, může to představovat provozní i bezpečnostní riziko, zejména při řešení incidentů, nicméně toto riziko je aktuálně spíše jen teoretické,“ poznamenal Neščivera.
Nové povinnosti představují pro firmy také finanční zátěž. „Nejde jen o přímé náklady na technická opatření, ale také například o vzdělávání zaměstnanců a změnu interních procesů. Z našeho pohledu však nejde o ‚zbytečný náklad‘. Firma investuje do ochrany před rizikem, které nemusí nastat každý den, ale pokud nastane, mohou být následky zásadní — výpadek provozu, ztráta dat, reputační škoda, náklady na obnovu systémů nebo ztráta zákazníků,“ vysvětluje Dobeš.
Pokuty zatím NÚKIB neudělil
Nový zákon přivedl do české legislativy evropskou směrnici NIS2 o kybernetické bezpečnosti, která má sjednotit zabezpečení sítí napříč Evropskou unií. Firmám v případě porušení povinností hrozí pokuty. Pro podniky ve vyšším režimu to dělá až 250 milionů korun nebo dvě procenta dosaženého čistého celosvětového ročního obratu.
U firem v nižším režimu může být pokuta až 175 milionů korun nebo 1,4 procenta dosaženého čistého celosvětového ročního obratu. „Tyto částky jsou však ty skutečně nejvyšší možné. V potaz se při ukládání pokuty konkrétní organizaci vždy bere ekonomická situace dané organizace, pro kterou pokuta nesmí být nikdy likvidační,“ ubezpečuje Neščivera.
V prvních měsících fungování zákona NÚKIB zatím žádné pokuty neudělil a postupuje především preventivně. „Pokuty jsou pro NÚKIB až to nejposlednější možné řešení. Nicméně od určité chvíle bude nutné řešit i chybějící ohlášení a neohlášené subjekty,“ upozorňuje Neščivera.
