EY označuje globální organizaci a může se vztahovat na jednu nebo více členských firem Ernst & Young Global Limited, z nichž každá je samostatným právním subjektem. EYG, britská společnost s ručením omezeným, neposkytuje služby klientům.
Zcela konkrétní datum platnosti všech novelizovaných povinností pro regulované subjekty není prozatím známo. Bude se odvíjet od novely Zákona o kybernetické bezpečnosti, kterou Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) předložil vládě koncem ledna. Na základě zkušeností se zaváděním obdobných směrnic do praxe lze očekávat zhruba roční lhůtu.
Zjištění průzkumu společnosti EY Česká republika, do kterého se zapojily společnosti z celkem 22 odvětví, od státní správy, přes zdravotnictví až po ICT, nejsou z pohledu připravenosti nijak růžové. Jak už bylo zmíněno, aktuálně splňuje podmínky nové směrnice minimum společností a situaci dále zhoršuje nízká informovanost firem.
„V tomto ohledu sledujeme znepokojivý jev. Téměř polovina nově regulovaných společností uvedla, že nemají dostatečné povědomí o problematice NIS2,“ říká Jan Pich, Cyber Security Manager ve společnosti EY Česká republika.
„Zhruba polovina respondentů, jenž uvedli, že nejsou dostatečně informováni, zastává vrcholné řídící pozice, nebo jsou členy představenstva. Podle NIS2 přitom právě vedení společnosti nese přímou odpovědnost za její zavedení,“ dodává.
Co je NIS2?
NIS2 (Network and Information Security 2) je celoevropská směrnice o kybernetické bezpečnosti. Cílem je zvýšení odolnosti evropských organizací proti kybernetickým útokům. Jde o aktualizovanou směrnici NIS z roku 2016. Nová směrnice výrazně rozšiřuje okruh společností, které musí pravidla splňovat. Za nesplnění požadavků hrozí vysoké pokuty, které motivují k aktivnímu přístupu ke kybernetické bezpečnosti. Státy EU budou muset aktivně dohlížet na dodržování NIS2 a nově disponují širokou škálou nástrojů pro jeho prosazení.
Na základě dat z průzkumu společnosti EY Česká republika tak lze odhadovat, že firem, kterých se novela dotkne a zároveň se na ní nijak nepřipravují, je v Česku více než jeden a půl tisíce. Směrnice NIS2 klade důraz na posílení kybernetické bezpečnosti v Evropě. Implementace požadavků NIS2 není jen otázkou vyhnutí se sankcím, ale i ochrany reputace a důvěryhodnosti firem.
„Nesplnění požadavků NIS2 může mít pro firmu dalekosáhlé důsledky, a to i nad rámec finančních sankcí. Poškozená reputace a ztráta důvěry ze strany zákazníků, partnerů a investorů může být pro firmu likvidační,“ upozorňuje Jan Pich.
Personál a peníze
Víc jak polovina respondentů průzkumu uvedla, že největší výzvy spatřuje v nedostatečných personálních kapacitách a ve výši nákladů spojených s implementací požadavků směrnice NIS2. Počet subjektů, které budou NIS2 nově regulovány, se v Česku odhaduje na víc než 6 tisíc. „Lze kvůli tomu očekávat prohloubení už tak výrazného nedostatku odborníků na kybernetickou bezpečnost na českém pracovním trhu,“ říká Jan Pich.
Cestou ven jsou tak pro firmy inovace a schopnost flexibilně reagovat na změny. IT a bezpečnost už nelze vnímat jen jako čistě interní služby. Pro menší subjekty, jako jsou obce, nemocnice nebo malé firmy, může být náročné vybudovat a udržovat vlastní robustní systém kybernetické obrany. Řešením pro ně může být využití sdílených služeb.
Sdílené služby nabízí centralizované řešení pro kybernetickou bezpečnost, které sdílí více subjektů. To umožňuje sdílet náklady na odborníky, technologie a infrastrukturu. Takové služby představují efektivní a dostupný způsob, jak posílit kybernetickou bezpečnost i pro menší subjekty. Trend se rozvíjí i v jiných oblastech, jako je sdílení aut, kol nebo takzvaných „plovoucích úředníků“.
Využití sdílených služeb v kybernetické bezpečnosti je cestou k efektivnější ochraně v digitální éře.
Další cestu nabízí investice do řešení založených na umělé inteligenci (AI). Nástroje AI dokáží automatizovat mnoho úkolů v oblasti kybernetické bezpečnosti, čímž se sníží závislost na lidských pracovnících a zároveň se zvýší efektivita a rychlost reakce na hrozby.
Průzkum společnosti EY Česká republika dále ukazuje, že společnosti, které již podléhají jiným regulačním normám, přistupují k NIS2 s větší systematičností a pragmatismem. „Tyto firmy disponují zkušenostmi s implementací bezpečnostních opatření a vědí, jak správně postupovat, včetně plánování finančních aspektů,“ vysvětluje Jan Pich.
Jak může EY pomoci
Kybernetická bezpečnost a digitalizace jdou ruku v ruce, protože zvyšující se digitalizace vytváří nové bezpečnostní výzvy. Společnost EY Česká republika disponuje týmem odborníků, který vás krok za krokem provede nástrahami, které v digitálním světě číhají. Více si o službách, které v oblasti kybernetické bezpečnosti nabízíme, můžete přečíst ZDE.
Nově regulované společnosti tak očekávají navýšení nákladů na kybernetickou bezpečnost až o 40 %. Již regulované subjekty počítají s navýšením nákladů zhruba o 15 % a těží z už dřívějších investic do kybernetické bezpečnosti, díky kterým pro ně nebude implementace NIS2 tak nákladná.
Nová regulace NIS2 představuje pro firmy výzvu, ale zároveň i příležitost k posílení kybernetické bezpečnosti. Společnosti, které se k ní postaví zodpovědně a systematicky, budou lépe chráněny před kybernetickými hrozbami, zároveň si zajistí soulad s legislativou a vylepší si svou obchodní pozici na trhu.
Související články
EU začne hlídat rovné odměňování žen a mužů. Připravte se na nová pravidla
Proč mají zaměstnanci větší touhu i odvahu změnit práci? Průzkum EY Work Reimagined 2022 přináší zjištění na základě odpovědí téměř 20 tisíc respondentů.