Evropská komise schválila novou celoevropskou strategii kybernetické bezpečnosti, známou jako směrnice NIS 2. V platnost by měla vstoupit v roce 2024 a bude mít zásadní dopad na fungování více než šesti tisíc českých firem a organizací. Zavádí totiž řadu pravidel pro zajištění bezpečnosti jejich kyberprostoru proti hackerským útokům. Podle expertů na kyberbezpečnost však pro naplnění takového plánu chybí v Česku IT odborníci.
Pro mnohé firmy, natož veřejné subjekty, nebude snadné získat do svých řad potřebné IT specialisty nebo experty na kybernetickou a informační bezpečnost, na řízení rizik a architekty kybernetické bezpečnosti. Těch je už nyní na trhu práce nedostatek, říká IT expert Pavel Kurka z poradenské IT společnosti CNS a.s.
Směrnice NIS 2 rozděluje subjekty na dvě skupiny, a to na zásadní entity, například zdravotnictví, bankovnictví, veřejnou správu, dopravu a na důležité entity, což jsou třeba poštovní a kurýrní služby, firmy nakládající s odpady nebo výrobce zdravotnických prostředků či počítačů.
Expert upozorňuje, že firmám z obou skupin nezbude než posílit a přeorganizovat vlastní IT oddělení nebo práci zadat externím odborníkům. „Zásadní bude také testování a bezpečnostní audit za účelem posouzení účelnosti opatření k řízení rizik v oblasti kybernetické bezpečnosti,“ dodává Kurka.
Zabezpečení nemocnic před kyberútoky
Směrnice si klade za cíl přinést další bezpečnostní opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti v celé Evropské unii. Mezi zásadní objekty patří zdravotnická zařízení. Aktuálně je pod regulací směrnice NIS 1 čtyřicet čtyři českých nemocnic, v roce 2024 jich pod novou směrnici bude spadat téměř dvě stě.
IT odborník na bezpečnost ve zdravotnictví Petr Samek upozorňuje, že oblast kybernetické bezpečnosti je mnohdy na okraji zájmu manažerů zdravotnických zařízeních. „K posílení IT bezpečnosti je důležité na základě bezpečnostního auditu vytvořit střednědobý a dlouhodobý plán s navrženými opatřeními, protože ta nevyřešíte za týden, ani za měsíc, ani za rok,“ radí Petr Samek ze společnosti CNS a.s. Důležité je podle něj myslet i na vytvoření finančních zdrojů na tato opatření.
Podle zástupců konzultační společnosti Ideal Mělník a.s., která se oblastí informační bezpečnosti zabývá, výrazně napomůže splnění povinností definovaných NIS2 implementace ISO 27001. Jde o mezinárodně platný standard, který definuje požadavky na systém managementu bezpečnosti informací, především pak řízení bezpečnosti důvěry informací pro zaměstnance, procesy, IT systémy a strategii firmy.
Směrnice začne platit v roce 2024, v letošním roce se dokončuje schvalování na úrovni EU. V roce 2023 bude probíhat implementace do národních legislativ, pro Česko to znamená novelizaci zákona o kybernetické bezpečnosti č. 181/2014. Maximální výše pokuty za nedodržení směrnice je deset milionů eur, nebo 2 % z celkového celosvětového ročního obratu společnosti.