Firmy se opevňují proti atakům hackerů
Zranitelnost tuzemských firem má snížit nová evropská směrnice NIS2. Přísnější IT pravidla se v následujících měsících dotknou přibližně šesti tisíc firem. Ve virtuálním světě se hodlá zdokonalit také ministerstvo obrany.
Členské státy EU dokončily schvalování normy, která upravuje požadavky ohledně úrovně kybernetické bezpečnosti ve firmách a ve státní správě. Cílem nové směrnice je zefektivnění spolupráce příslušných národních orgánů. Přísnější pravidla v oblasti IT označovaná zkratkou NIS2 nahrazují šest let starou směrnici o bezpečnosti sítí a informačních systémů. Změny jsou reakcí na čím dál častější kybernetické útoky, jež nejen firmám způsobují milionové škody. Na uvedení nových pravidel do praxe mají státy a zasažené podniky necelé dva roky.
Dle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) se nová unijní pravidla dotknou více než šesti tisíc českých firem. Oproti současnosti, kdy jsou „pod směrnicí“čtyři stovky subjektů, jde o výrazný kvalitativní posun. „Mění se také styl, jakým se subjekty zařazují do kritické informační infrastruktury. Nové opatření je konkrétnější v požadavcích, které mají regulátoři řešit z pohledu bezpečnosti,“řekl ještě před schválením normy ředitel odboru regulace NÚKIB Adam Kučinský na konferenci o kyberbezpečnosti, již v minulém týdnu pořádalo vydavatelství MAFRA.
Kdo se opozdí, selže
Dle Kučinského může být firem kontrolovaných regulátorem ještě více. „Troufám si tvrdit, že šest tisíc firem je minimum a že jich bude ještě více,“uvedl. Upozornil také, že norma stanovuje sankce, které budou sjednoceny pro celé území EU, přičemž pokuty za případná provinění mají být oproti těm současným až dvojnásobné.
Směrnice zavádí povinnost mapovat kyberhrozby a hlásit potíže. Týká se firem v řadě odvětví, nově se bezpečnostní požadavky vztahují na energetiku, dopravu, zdravotnictví, banky či poskytovatele poštovních a kurýrních služeb. Společnosti se musejí aktualizovaným pravidlům přizpůsobit do 21 měsíců poté, co začnou platit, což se má stát v příštím měsíci.
Josef Donát z advokátní kanceláře Rowan Legal upozornil, že „práce bude dost a firmy nemají na co čekat“. „Za mě je nejvyšší čas začít během příštího roku na jaře. Kdo bude otálet, obávám se, že krutě selže,“uvedl na konferenci pořádané vydavatelstvím MAFRA.
Obrana chystá databázi
Ve virtuálním světě se chce účinněji pohybovat také ministerstvo obrany. Resort přichystal legislativní změnu, která má umožnit rychlejší reakci na kritické situace. „Nám jde pouze o to, abychom – při veškeré úctě k pravidlům na ochranu soukromí (známá pod zkratkou GDPR – pozn. red.) – měli jako úřad v potřebnou chvíli přístup do databází a mohli aktivovat jedince, kteří mají například vojenský výcvik,“řekla na konferenci o kyberbezpečnosti ministryně obrany Jana Černochová (ODS).
Chystaná legislativa by měla přispět k vytvoření databáze podobné té, kterou má k dispozici ministerstvo vnitra. To například vede v patrnosti soupis osob, jež mají zbrojní či letecký průkaz. Na to konto Černochová uvedla, že považuje za vhodné, aby resorty obrany a vnitra v zájmu lepší součinnosti spojily část svých agend.
„Tak trochu si od toho slibujeme, že vedle profesionální armády, aktivních záloh a dobrovolně vycvičených záloh, zde bude i čtvrtá složka lidí a my budeme znát jejich zdravotní stav a schopnosti,“uvedla Černochová. Zdůraznila, že stát by měl věnovat pozornost kybernetické ochraně, obraně kritické infrastruktury a krizovým scénářům typu blackout (výpadek dodávek elektřiny – pozn. red.).
Chystané změny legislativy uspíšila i ruská okupace Ukrajiny. Jak upozornila ministryně, časový rozdíl mezi „stavem ohrožení státu“a „válečným stavem“byl na Ukrajině pouhých osm hodin. „Česko může registry otevírat až ve stavu ohrožení státu, což je pozdě,“řekla Černochová s tím, že připravované změny by měly umožnit, aby některé činnosti byly prováděny s předstihem.