Již koncem letošního roku by měla v Česku vstoupit v platnost pravidla evropské směrnice pro kyberbezpečnost NIS2, přičemž management celé čtvrtiny firem o nich podle průzkumu EY Česká republika nemá ponětí. Podle Jana Picha z EY přinese firmám hodně nových povinností, na druhou stranu začít mohou i s excelovou tabulkou. „Může být účinnější věci sledovat v excelu, ale poctivě, než si koupit nějaký drahý systém a špatně ho nastavit,“ říká v rozhovoru.
NIS2 navazuje na normy, které už existují. Co přináší nového?
Dnes se zákony dívají na kyberbezpečnost pohledem konkrétního systému, třeba řízení tepelného kotle v elektrárně. NIS2 se bude dívat pohledem služby, kterou společnost dodává. V tomto případě tedy dodávek energie. Tím pádem už pod jeho působnost nespadne jen systém, který řídí rizikový kotel, ale i všechny ostatní, jež danou službu podporují. Třeba systém identit, který ověřuje uživatele, systém pro řízení pásového dopravníku uhlí… zkrátka vše, co je vzájemně nějak propojené s danou službou.
Popis je mnohem širší a nutí firmu, která chce provozovat určitý typ služeb, aby se zamyslela a hledala všechna z hlediska kyberbezpečnosti úzká místa, což se nakonec vztahuje i na dodavatele. Především u státní správy to může znamenat poměrně velký problém, protože její instituce jsou mnohdy na dodavatele zcela odkázané. Teď na ně bude muset ta instituce aplikovat požadavky NIS2 jako na součást systému.
Jde tedy i o provázanost systémů?
Ano. Když jsem uvedl například řízení kotle v elektrárně, tak ten řídí nějaký počítač. Dříve vás zákon nutil nezanedbávat jeho aktualizace. Ale už neřešil, že ten systém je ve stejné síti například se systémem na objednávky obědů v závodní jídelně, který má standard zabezpečení řádově jinde. Protože u obědů to nikdo neřeší. Ale tím propojením může vzniknout bezpečnostní riziko. Přes ten slabě zabezpečený systém se někdo může dostat do toho kritického.
Proto je třeba začít inventurou. Co je služba, která je regulovaná, co všechno mně tuto službu podporuje a je s čím propojené, co je klíčové, a nechat v systému podporujícím regulovanou službu, pokud možno jen to, co je potřeba. Takže třeba ty obědy dát někam bokem. S implementací směrnice NIS2 je to podobné, jako když půjdete uklízet do garáže. Buďto můžete všechno vyhodit, nebo ty krabice otevřete, roztřídíte a dáte zpátky v nějakém jiném uspořádání.
Ten vývoj odpovídá celkovému pokroku v IT. Na úrovni Evropské unie se kyberbezpečnost začala řešit někdy v roce 2013. Když si srovnám svůj tehdejší mobilní telefon s tím, který používám dnes, do jakých všech systémů je připojený, tak je to nesrovnatelné. Co bylo dřív v papírech, je dnes v sítích. A to je motivace rozšíření kyberbezpečnosti od kritické infrastruktury do všech odvětví, jejichž ochromení může mít ekonomické a sociální dopady. Takže třeba i mezi chemičky, nebo dokonce výrobce hnojiv.
Pozná firma bezpečně, zda se jí regulace týká?
Pro prvotní stanovení je třeba současné naplnění následujících dvou pravidel: Organizace poskytuje alespoň jednu regulovanou službu a je středním nebo velkým podnikem. Tedy zaměstnává padesát a více zaměstnanců nebo dosahuje ročního obratu nebo bilanční sumy roční rozvahy alespoň deseti milionů eur, což je zhruba 250 milionů korun.
Z vašeho nedávného průzkumu vyplynulo, že v současnosti by kritéria NIS2 u nás splnila jen dvě procenta společností. A zhruba čtvrtina managementu nemá o této věci skoro žádné informace. Jak si to vysvětlujete?
Ta dvě procenta jsou podle mě ještě docela logická. Řada firem je totiž na hraně, blíží se naplnění těch povinností, ale není s nimi v souladu na sto procent. Mnozí však vědí přesně, co mají dělat, protože už se jich dotkla ta stávající regulace.
U dosud neregulovaných se ale objevuje část respondentů, která skutečně neví o NIS2 nic nebo skoro nic. Přičemž zhruba polovina z těch 25 procent, která tohle řekla, připadá na lidi v řídících funkcích. Na předsedy představenstev, generální ředitele a podobně. To vnímám jako velký problém.
Čím to je? Vždyť kyberbezpečnost není úplně nová.
Možná je zajímavé srovnat to s GDPR. Tam totiž legislativa mluví o řadě věcí poměrně vágně. Takže zpětně mnozí říkají, že to byl humbuk pro nic, protože jejím zavedením se reálně nic moc nestalo. Leckdo tak může i NIS2 vnímat podobně. Jenže ona je mnohem konkrétnější. I pro stát nebo NÚKIB, tedy Národní úřad pro kybernetickou a informační bezpečnost, bude mnohem silnějším nástrojem, než by si někdo myslel.
Nejvyšší představitelé firem jsou orientovaní především na byznys a rozvoj firmy. Bohužel leckdy jim chybějí správné informace o tom, proč je právě kybernetická bezpečnost důležitá a měla by být prioritou. Navíc právě oni budou za splnění podmínek zodpovědní. Tuto zodpovědnost nepůjde ze sebe sejmout tím, že někoho najmete a přenesete ji na něj.
Není to ale úkolem specialistů, aby management informovali, dali mu podklady a navrhli řešení?
S tím souhlasím. Nicméně je třeba vidět, že bezpečnost negeneruje výnosy, nepřináší peníze. Tudíž to má vždy těžké. Což je důvod, proč taková komunikace mezi těmito dvěma úrovněmi někdy nefunguje. NIS2 klade na management povinnost zabývat se aktivně kybernetickou bezpečností včetně například povinného školení. Vnímám to jako cestu správným směrem a věřím, že to napomůže lepší komunikaci a vnímání rizik vyplývajících z kybernetické bezpečnosti v řadách nejvyššího managementu.
Můžete zmínit některá konkrétní opatření, která budou muset firmy udělat?
Rozhodně nedoporučuji jako první krok si koupit jednu zázračnou krabici, která vše vyřeší. Zvlášť pro malé společnosti to bude docela složitá záležitost jak z pohledu znalostí, tak i financí. Mohou ale začít s excelovou tabulkou. Evidenci rizik, aktiv a událostí lze na začátku vyřešit takto. Pak jsou samozřejmě oblasti, kde se technologie musí pořídit – antivirovou ochranu v excelu prostě nevyřešíte.
Konkrétním požadavkem je třeba povinnost nahlásit incident do 24 hodin na NÚKIB. Z mého pohledu jde přitom o jeden z nejtěžších úkolů. Protože abyste to udělal, musíte mít nějakou technologii a k ní vyškolený personál, který musí mít jasně dané postupy. Také mít v systému nějaká data, protože jinak ten incident nevyhodnotí. Až se na základě toho všeho dozvíte, že je tu událost, kterou možná bude třeba hlásit, tak musí někdo rozhodnout, zda ano, či ne. Aby toho nebylo málo, tak byste tenhle systém měl taky testovat, abyste věděl, že všechno funguje. Za tím je hromada práce, kterou budou muset společnosti odpracovat.
Na druhou stranu začít s excelovou tabulkou v mnoha oblastech opravdu jde. Mám s tím osobní zkušenost, že sám jsem takto začínal a ty přehledy splnily svůj účel. Důležité je systém řízení bezpečnosti nastavit a roztlačit. Je to mnohem efektivnější než si pořídit drahý nástroj, který nenastavím správně.
Co je vůbec hlavním cílem směrnice?
Směrnice NIS2 má za cíl posílit kybernetickou odolnost kritických infrastruktur a digitálních služeb v EU, aby i služby, na které se v běžném životě spoléháme, byly odolné a připravené na kybernetické útoky.
Spadá sem i školení zaměstnanců?
Určitě. Je to o celém systému, od dokumentace přes školení zaměstnanců až po pravidelné informování managementu, co se v této oblasti děje.
Jste optimista?
Smysl směrnice vnímám spíše kladně, ačkoliv jsem poněkud skeptický k jejímu provedení v české legislativě. Obávám se, aby se z ní nestala spíše papírová válka než efektivní nástroj. Pokud se budou požadavky zákona skutečně plnit, pak může být efektivní. Nicméně požadavků na dokumentaci je více než tři sta, což je dle mého názoru enormní zátěž, zvláště pro menší firmy, které doposud nemusely v této oblasti plnit žádné povinnosti.
Zvládnou změny profinancovat třeba státní instituce či nemocnice, které je mají rozdělené do kapitol? A nemohou do toho dát peníze určené na něco jiného.
Mně tady právě pro tyto subjekty chybí centrální metodika, která by je někam nasměrovala. Ony skutečně mají limitované rozpočty a nemohou si dovolit jen tak do zabezpečení nebo nových sítí investovat. Stejně tak jim vznikají povinnosti třeba i v oblasti bezpečnostního monitoringu. Podle mě nemá každá taková instituce, jako je malá nemocnice nebo malý úřad, prostředky na to stavět monitorovací centrum. Dovedu si ale představit nějaká monitorovací centra pro všechny krajské nemocnice. Zaprvé by ušetřily, zadruhé by měly nějakou garanci splnění požadavků. Takto se může stát, že ten, kdo to nezvládne, nebude dělat nic a doufat, že mu to projde.
Čím tedy z hlediska firmy či instituce začít?
Nečekejte do poslední chvíle. Už letos by se firmy měly směrnicí aktivně zabývat a provést GAP analýzu. Ta jim ukáže, jak si stojí v oblasti kybernetické bezpečnosti ve srovnání s jejími požadavky. Zároveň identifikuje oblasti, kde je nutné dosáhnout souladu, ať už plného, nebo částečného. Čím dříve se firmy začnou problematikou NIS2 zabývat, tím více času budou mít na implementaci potřebných opatření k dosažení souladu.
