jsme PřiPR aV eni na KYBERú TOKY ?

Next Article

inteligentní teChnologie A PREVENCE KRIMINALITY

eVR o P s K á smě R ni C e nis 2 a be ZP ečnostní te C hnologie

Novela významnější než GDPR. Tisíce organizací budou muset přehodnotit svůj přístup ke kyberbezpečnosti. Za nedodržení hrozí extrémní pokuty… Zprávy, které se v posledních měsících objevovaly v českých médiích v souvislosti se směrnicí Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v EU, zkráceně nazývanou NIS2, můžou v řadách českých firem vyvolávat vrásky na čele.

NIS s pořadovým číslem dva navazuje na směrnici, již EU přijala už v roce 2016. Právě tzv. NIS1 byla pro mnohé evropské státy jedním z prvních impulsů k systematickému přístupu ke kyberbezpečnosti. Protože však NIS1 pokulhávala v nárocích na koordinaci kyberbezpečnosti napříč EU a nastavená pravidla byla jen těžko vymahatelná, 27. prosince 2022 zveřejnil Úřední věstník Evropské unie oficiální znění nové směrnice s názvem NIS2.

Autoři NIS2 se z chyb první směrnice poučili a připravili několik zásadních změn, které se dají shrnout pod heslem: více společné koordinace a větší rozsah. „NIS1 uváděl do pohybu požadavky na společnou úroveň kyberbezpečnosti napříč členskými státy, ale jelikož to mnohé státy stále chránily jako otázku národní bezpečnosti a samozřejmě také často neměly vybudované kapacity, nebyla vůle více sdílet informace a zranitelnosti,“ vysvětluje hlavní důvody pro uvedení nové směrnice jedna z jejích autorek, politička Markéta Gregorová, která je od roku 2019 poslankyní Evropského parlamentu.

Kyberbezpečnost, téma budoucnosti

Otázka kyberbezpečnosti nabývá pro firmy, státy i mezinárodní organizace typu EU na významu. Evropská komise odhadla, že jen v roce 2020 způsobila kyberkriminalita světové ekonomice škody ve výši 5,5 bilionu eur. Oproti roku 2015 je to dvojnásobek. Podle evropského průzkumu mělo v roce 2021 zkušenosti s kyberútokem celých 28 % malých a středních podniků. Dle dat rozsáhlé studie společnosti IBM z roku 2022 byly průměrné náklady způsobené únikem dat neuvěřitelných 4,35 milionu amerických dolarů. Celých 83 % organizací, které IBM pro účely své globální studie oslovila, zažilo přitom víc než jeden únik dat.

V tomto kontextu je snaha regulačních orgánů zavést minimální standardy pro kybernetickou bezpečnost zcela logická. Koneckonců bezpečný kybernetický prostor je základem jednotného digitálního trhu, a to nejen v EU. Svoji obdobu NIS2 mají například i Spojené státy, konkrétně se jedná o požadavky amerického Národního institutu pro standardy a technologie NIST.

h laV ní téma

NIS2 se týká tisíců českých firem

Nová směrnice NIS2 si klade za cíl zvýšit kybernetickou odolnost u široké škály podniků se sídlem v EU, sjednotit kyberochranu napříč EU i v rámci jednotlivých států a nastavit systém sdílení kybernetických hrozeb a kolektivní obrany členských států.

Co konkrétně tedy tuzemské podniky v souvislosti s požadavky NIS2 čeká? V první řadě se značně rozšíří množství organizací, kterým připadne zákonná povinnost zajistit svoji kybernetickou bezpečnost. Počet tzv. regulovaných společností a organizací zřejmě stoupne až patnáctinásobně. Odhaduje se, v Česku se bude jeden ze dvou stupňů regulace (NIS2 rozděluje regulované organizace na „důležité“ a „zásadní“) týkat až šesti tisíc subjektů.

jen v roce 2020 způsobila kyberkriminalita světové ekonomice škody ve výši 5,5 bilionu eur. oproti roku 2015 je to dvojnásobek.

Dále se zvýší míra odpovědnosti, kterou má vedení společností a veřejných organizací za zajištění kybernetické bezpečnosti svého podniku. NIS2 navíc nově přichází s pokutami a sankcemi za nedodržování kybernetických opatření. Ty nejsou zrovna malé. Evropská komise se v tomto případě inspirovala obecným nařízením GDPR z roku 2016. Pokuty NIS2 odpovídají 2 % celosvětového obratu společnosti nebo 10 milionům euro – podle toho, která suma je vyšší. Dá se proto očekávat, že motivace firem investovat do vlastního kyberzabezpečení v dohledné době značně vzroste.

Důraz na důvěryhodnost výrobců

Jednou ze zásadních změn je posílení kybernetické bezpečnosti celého dodavatelského řetězce. NIS2 se nezabývá pouze riziky spojenými

Pokuty obratu společnosti nebo 10 milionům eur –podle toho, která suma je vyšší. s konkrétním plněním zakázky, ale nově se dívá i na samotnou osobu dodavatele nebo výrobce. To, co by se na první pohled mohlo zdát jako přehnaný nárok, má svoji hlubokou oporu v datech a zkušenostech.

NIS2 si klade za cíl prověřit dodavatele či výrobce hlavně z toho pohledu, zda je daná firma z dlouhodobého hlediska bezpečná, zda bude dodávat kontinuálně a konzistentně i v budoucnu, zda pochází z důvěryhodných zemí a podobně. Doposud bylo, zejména pod tlakem zákona o veřejných zakázkách, celkem lhostejné, kdo zakázku získá, pokud instalace splňuje požadované parametry. Revoluční změna je ta, že uživatel musí hodnotit i samotnou osobu dodavatele či výrobce.

Je zřejmé, že právě zabezpečení dodavatelského řetězce bude nutné věnovat v budoucnu o mnoho vyšší pozornost. Jeden příklad za všechny: Ještě před dvěma nebo třemi lety by mnoho lidí nepovažovalo výrobu a dodávky polovodičů za kritické. Problémy se zásobováním během pandemie však ukázaly, jak zásadní jsou čipy pro mnoho – ne-li většinu – moderních průmyslových procesů. Globálně integrovaný dodavatelský řetězec technologií podléhá „efektu motýlích křídel“ a i malé narušení jednoho článku systému může mít velký dopad na celý řetězec.

Kamerový systém jako cíl i prostředek kyberzabezpečení

Kamerové systémy v tomto ohledu jsou jednak cílem, jednak prostředkem kybernetické ochrany. Jako technologie fyzické bezpečnosti jsou důležitým doplňkem bezpečnosti kybernetické – to ostatně zmiňuje i připravovaná novela zákona o kybernetické bezpečnosti, kterou na základě NIS2 chystá NÚKIB. Kamery pomáhají chránit kritickou IT infrastrukturu, jako jsou serverovny nebo datová centra, a zamezují také vniknutí potenciálního hackera do objektu.

Jako IT zařízení zapojená do sítě jsou však kamery kybernetickými útoky ohrožené podobně jako servery a další síťové prvky. V některých případech jsou kamery dokonce kritickým aktivem – právě skrze kamery se hackeři můžou dostat do centrální sítě. Nemluvě o tom, že bezpečnostní kamery jsou samy zdrojem citlivých dat.

Zpozornět by měly jak firmy, na něž se bude regulace nově vztahovat, tak jejich dodavatelé, v případě kamerových systémů tedy integrátoři a instalační firmy. Směrnice NIS2 totiž nově upravuje též smlouvy mezi regulovanými subjekty a jejich dodavateli. Za zmínku stojí především ustanovení, které zavazuje dodavatele, včetně celého jeho dodavatelského řetězce, k dodržování bezpečnostních pravidel objednatele, tj. koncového zákazníka. Z hlediska práva bude integrátor kamerových systémů ručit, že výrobce jím dodávaných produktů splňuje bezpečnostní regule NIS2.

Pokud patříte mezi integrátory dohledových systémů, tato řetězová smlouva mezi subdodavateli znásobuje význam důvěryhodnosti, spolehlivosti a bezpečnosti výrobců, s nimiž hodláte spolupracovat. V opačném případě – tedy pokud u zákazníka instalujete produkty, které by mohly způsobit kybernetické ohrožení a které nevyhovují směrnici NIS2 – vám hrozí sankce a pokuty.

Revoluční změna je ta, že podle nis2 musí uživatel hodnotit i samotnou osobu dodavatele či výrobce.

Gregorová: Problém není legislativa, ale kyberútoky

Axis Communications je v tomto ohledu jednoznačně na straně připravenosti, a je tak pro koncové zákazníky, kteří nově spadnou do kategorie regulovaných subjektů, i jejich instalační firmy ideálním partnerem. Jako lídr v přístupu ke kybernetické bezpečnosti už dnes splňuje všechny známé požadavky směrnice NIS2 a dalších legislativ. Nabízí též všechny dostupné certifikace včetně ISO 27001, z níž mnoho požadavků NIS2 vychází. Spolehlivost zaručuje i švédský původ společnosti a výroba, která se odehrává pouze v důvěryhodných zemích, včetně Česka a Slovenska.

Zásadní výhodou Axis je však především dlouhodobá strategie kyberbezpečnosti, jež zaručuje, že produkty společnosti budou vyhovovat i případným dalším změnám v regulačním přístupu. Právě to je totiž v oblasti kyberzabezpečení zásadní: disponovat technologiemi, procesy a zdroji, kte- ré firmám umožní čelit aktuálním kyberbezpečnostním hrozbám.

Nároky směrnice NIS2 mají potenciál stát se pro firmy podobným strašákem, jako bylo před lety GDPR. Nikoliv proto, že pocházejí z EU, ale proto, že nová zákonná povinnost může organizace donutit ke komplexnímu a modernímu pohledu na vlastní kyberzabezpečení, a ochránit je tak před budoucími – nikoliv malými – škodami.

To potvrzuje i europoslankyně Markéta Gregorová: „Pokud má podnik stávající IT infrastrukturu od pochybného dodavatele, který nemůže prokázat soulad s NIS2, soulad s evropskou legislativou by byl v tom případě mou třetí nebo čtvrtou starostí. Pochybní dodavatelé představují finanční a bezpečnostní riziko pro jakýkoliv podnik už teď, ne až s příchodem legislativy. Požadavky v NIS2 jsou úplný základ a zajistí, že všechny relevantní entity budou bezpečnější. Snad to bude především znamenat, že zatraktivní podnikání s poctivými dodavateli.“

NIS2 by mělo sloužit jako vodítko pro zlepšení kyberzabezpečení i pro podniky, na které se povinnosti NIS2 – zatím – vztahovat nebudou. Data, trendy a rostoucí apetit hackerů totiž ukazují, že investice do kybernetické bezpečnosti a partnerství s důvěryhodnými dodavateli se v budoucnosti vyplatí všem bez rozdílu.

„Pochybní dodavatelé představují finanční a bezpečnostní riziko pro jakýkoliv podnik už teď, ne až s příchodem legislativy.“

Markéta gregorová europoslankyně, která se podílela na vzniku nis2.