Kyberbezpečnost je v mnoha firmách bohužel stále podceňovaným tématem. V praxi se setkáváme s tím, že kyberbezpečnost řeší IT manažeři nebo systémoví administrátoři, pro něž kyberbezpečnost není primárním úkolem. Důvodem může být i to, že pokud je kyberbezpečnost na dobré úrovni, k incidentům obvykle nedochází, a práce v této oblasti tak není na první pohled viditelná. Útočníci po prvotních průzkumných pokusech často hledají zranitelnější cíle. To může vést k tomu, že management společností nemá dostatečnou motivaci k jejímu dalšímu zdokonalování a obecně významné roli kyberbezpečnosti v ochraně firemní integrity nerozumí.

Nejednoznačná KPIs ve firmách

Problémem je také skutečnost, že kyberbezpečnost není prací, která by byla snadno měřitelná a viditelná. V mnoha firmách nejsou nastaveny klíčové ukazatele výkonnosti (KPIs) tak, aby braly v potaz kyberbezpečnost jako jednu z relevantních oblastí. Dobře nastavená KPIs chápeme jako jeden ze základních faktorů umožňujících společnostem dosáhnout souladu s novou právní úpravou, která se rychle blíží a pravděpodobně nabude účinnosti během příštího roku.

Efektivní KPI by měly být navrženy tak, aby byly dostatečně konkrétní a poskytovaly podklad pro informovaná obchodní rozhodnutí. Je důležité zaměřit se zejména na ukazatele týkající se kybernetické bezpečnosti, z jejichž hodnot se vyvozuje odpovědnost společnosti nebo jejího vedení jako celku. Vyvarovat bychom se měli příliš obecných metrik, které neposkytují komplexní pohled na situaci. Například sledování pouhého počtu identifikovaných útoků na firemní infrastrukturu není samo o sobě dostačující, neboť hodnotí pouze schopnost systému detekovat hrozby, ale neřeší už otázku reakce na ně či účinnost preventivních opatření. Pro lepší řízení rizik a případné vyloučení odpovědnosti je vhodnější nastavit KPI, které zachycují poměr mezi celkovým počtem zjištěných útoků a úspěšností jejich prevence nebo řešení pomocí reaktivních opatření firmy. Tímto přístupem k tvorbě KPI může firma nejen lépe reagovat na bezpečnostní hrozby, ale také činit informovanější rozhodnutí, efektivněji se připravit na nadcházející regulatorní změny a zjišťovat nedostatky.

Zvýšená odpovědnost vedení firem

Správné nastavení klíčových ukazatelů výkonnosti (KPI) v oblasti kybernetické bezpečnosti má pro moderní firmy dvojí význam. Primárně slouží ke zlepšení reálného fungování bezpečnostních opatření, ale zároveň hraje klíčovou roli v ochraně vedení a celé společnosti před potenciální právní odpovědností. Tato role nabývá na důležitosti s ohledem na očekávané legislativní změny, které přinášejí rozšířené povinnosti a zvýšenou odpovědnost pro vedoucí pracovníky a statutární orgány společností (a jiných subjektů).

Nová legislativa, jak je v současnosti navrhována, ukládá vedení firem řadu specifických povinností. Mezi ně patří například nutnost absolvovat školení o bezpečnostním povědomí, stanovit jasné bezpečnostní politiky, informovat zaměstnance o významu informační bezpečnosti a zajistit pravidelné testování plánů reakce na kybernetické incidenty. Tyto povinnosti jsou pouze výběrem z širšího spektra nových požadavků, které budou na firmy kladeny.

Dodržování těchto nových právních předpisů bude spadat pod kompetenci Národního úřadu pro kybernetickou bezpečnost (NÚKIB). Tento úřad bude mít pravomoc nejen identifikovat nedostatky v bezpečnostních opatřeních firem, ale také nařídit nápravná opatření. V případech, kdy firma neuposlechne výtky NÚKIBu a nenapraví zjištěné nedostatky, může dojít k závažným sankcím. Jednou z nich je možnost dočasného pozastavení výkonu funkce člena statutárního orgánu, a to na dobu minimálně šesti měsíců.

Finanční postihy za neplnění povinností v oblasti kybernetické bezpečnosti mohou být pro firmy velmi citelné. Maximální výše pokut může dosáhnout až 250 milionů Kč nebo 3 % z celosvětového obratu společnosti, podle toho, která částka je vyšší. Toto pravidlo představuje zvláště významné riziko pro velké mezinárodní korporace, kde by tříprocentní podíl z globálního obratu mohl vést k astronomickým částkám.

V tomto kontextu se ukazuje, že pečlivě nastavené KPI mohou sloužit nejen jako nástroj pro zlepšování bezpečnostních procesů, ale také jako důležitý prvek v systému řízení rizik a compliance.

Vývoj trendů v oblasti kybernetické bezpečnosti v EU

Současný rozvoj regulace kybernetické bezpečnosti není náhodný. Stačí se podívat na nedávno vydaný report Agentury Evropské unie pro kybernetickou bezpečnost (ENISA), který analyzuje bezpečnostní incidenty v EU. Tento aktuální dokument, pokrývající období od září 2023 do září 2024, poskytuje hodnocení hrozeb v evropském kybernetickém prostoru. Z obsáhlého reportu lze vyzdvihnout několik klíčových trendů, které odůvodňují současný vývoj regulace.

Report například uvádí, že mezi nejčastěji zasažené sektory (kromě veřejné správy) patří především doprava, bankovnictví a finance, digitální infrastruktura a výroba. Útočníci nejčastěji používají DoS/DDoS útoky spočívající v zahlcení cílového systému enormním množstvím požadavků buď za pomoci jednoho zdroje (DoS), nebo za pomoci více zdrojů (DDoS). Tento typ útoků tvoří téměř polovinu všech incidentů. A není divu, jsou totiž z pohledu útočníka relativně jednoduché. Následují ransomware útoky, při nichž útočníci dostanou přístup do systému oběti, zašifrují data a za jejich navrácení požadují finanční protihodnotu. ENISA také upozorňuje na rostoucí vliv umělé inteligence a velkých jazykových modelů na vývoj kyberbezpečnostních hrozeb. Tyto nástroje mohou útočníkům výrazně usnadnit a zefektivnit jejich činnost, včetně zvýšení kreativity útoků a jejich dostupnosti pro méně zkušené jedince.

Směrnice NIS2 a její implementace

Je pochopitelné, že sektory nejvíce postižené bezpečnostními incidenty do značné míry odpovídají kategoriím regulovaných subjektů podle směrnice NIS2. V tomto kontextu lze očekávanou českou implementaci v podobě nového zákona o kybernetické bezpečnosti a souvisejících předpisů vnímat jako potřebnou a dlouho očekávanou reakci na konkrétní a reálné hrozby.

Nicméně současný legislativní proces naznačuje, že na finální českou úpravu si ještě nějakou dobu počkáme. Je nepravděpodobné, že by byl nový zákon o kybernetické bezpečnosti přijat ještě v tomto roce. V současnosti probíhá připomínkování návrhu zákona, přičemž největší kontroverze vyvolávají rozsáhlé pravomoci NÚKIB v oblasti prověřování bezpečnosti dodavatelského řetězce a možnosti zákazu plnění dodavatele. Tyto obavy vyjadřují významné organizace sdružující podnikatele, jako jsou Asociace provozovatelů mobilních sítí nebo Hospodářská komora. Kritici také upozorňují na to, že návrh zákona jde nad rámec povinností stanovených směrnicí NIS2 a vykazuje znaky tzv. „gold-platingu“, tedy rozšiřování pravomocí stanovených směrnicí při její implementaci do vnitrostátního práva. Přitom poukazují na to, že státy (např. Belgie), které již úpravu implementovaly do svých právních řádu, se držely předlohy mnohem věrněji než český zákonodárce.

Působnost NIS2 jako hlavní otázka

Přestože finální znění nového zákona o kybernetické bezpečnosti ještě není k dispozici, firmy se již nyní mohou a měly by připravovat na nové povinnosti. Z našich zkušeností vyplývá, že působnost směrnice NIS2 a budoucího zákona o kybernetické bezpečnosti není vždy tak jednoznačná, jak by se mohlo na první pohled zdát. Klienti často nevědí, zda se na ně nová regulace bude vztahovat, nebo naopak předpokládají její aplikaci i v případech, kdy tomu tak být nemusí. Proto je důležité vždy na začátku důkladně prověřit, zda a jak se regulace konkrétního subjektu dotkne. Společnosti se tak vyhnou zbytečným nákladům na implementaci opatření, která pro ně nejsou relevantní. Analýza působnosti regulace je klíčová, ale často podceňovaná fáze přípravy.

Zvláštní pozornost si zaslouží otázka aplikace povinností na dceřiné společnosti v rámci podnikatelských skupin. Dceřiné společnosti, ve kterých mají mateřské firmy rozhodující vliv, většinou splňují kritérium velikosti pro aplikaci regulace, protože toto kritérium se posuzuje z pohledu celé skupiny. Méně jasné je však kritérium poskytovaných služeb. Dceřiné společnosti často neprovozují služby spadající pod směrnici NIS2, zatímco mateřské společnosti ano. V takovém případě se na dceřinou společnost nemusí vztahovat žádná nová pravidla. Naopak, pokud regulovanou službu poskytuje pouze dceřiná společnost, může se stát, že se nová regulace vůbec nedotkne mateřské firmy. Pro tyto situace existuje v návrhu nového zákona o kybernetické bezpečnosti speciální ustanovení.

(Ne)Dostatečná úroveň kybernetické bezpečnosti českých firem

Zajímavým zjištěním je také fakt, že mnoho klientů si není vědomo, že jejich stávající úroveň kybernetické bezpečnosti již splňuje požadavky očekávané právní úpravy. V takových případech pomáháme konsolidovat existující opatření a připravit je na budoucí povinnosti vyplývající z nové legislativy. Neustále sledujeme vývoj návrhu zákona a souvisejících vyhlášek a jsme schopni rychle reagovat na nové požadavky a pomáhat společnostem s jejich implementací.

Je patrné, že kyberbezpečnost se stává strategickou prioritou pro firmy všech velikostí a odvětví. S blížící se novou regulací je nejvyšší čas na přehodnocení přístupu k této oblasti. Firmy, které přistupují ke kyberbezpečnosti proaktivně a připravují se na nové regulační požadavky, budou mít významnou konkurenční výhodu v době, kdy digitální bezpečnost hraje klíčovou roli v úspěchu podnikání. Naším cílem je pomoci klientům soustředit se na jejich hlavní byznys s vědomím, že jednu z nejrozsáhlejších regulací posledních let zvládnou bez zbytečných komplikací.