Nový kybernetický zákon se blíží

Obrana však nebude levná

S rostoucím počtem kybernetických hrozeb čekají správce kritické infrastruktury a poskytovatele klíčových digitálních služeb nové povinnosti týkající se kybernetického zabezpečení. Vláda nedávno předložila parlamentu České republiky ke schválení zákon o kybernetické bezpečnosti. Tato nová legislativa, jejíž přijetí se očekává ve druhé půlce roku, zasáhne podle odhadů okolo 6000 firem. Ne všechny se ale začaly připravovat. Firmy očekávají výdaje v řádech milionů, o využití dotace však zatím uvažuje jen třetina z nich.

Text: Jana Chuchvalcová

Foto: Shuttestock

Nový zákon o kybernetické bezpečnosti do českého právního řádu implementuje evropskou směrnici NIS2 (Network and Information Security 2). Ta ukládá správcům kritické infrastruktury a poskytovatelům klíčových digitálních služeb povinnost přijmout organizační a technická opatření, jejichž cílem je výrazně posílit kybernetickou bezpečnost klíčových prvků místní infrastruktury.

Nová opatření i povinnosti

Legislativa přinese mimo jiné nové procesy, nástroje a také povinnosti pro střední a velké firmy a poskytovatele služeb důležitých pro chod státu z 18 daných odvětví. Nejde přitom jen o zpřísnění pravidel bezpečnostního řízení, ale i o širší povinnost informovat o kybernetických útocích NÚKIB a uživatele služeb. Firmy budou také povinny o kyberútocích sdílet informace a podnikat proti nim aktivní a odpovídající protiopatření.

Celkem by se v Česku měla tato opatření dotknout tisíců organizací ze soukromého i veřejného sektoru. Půjde o firmy, které buď zaměstnávají 50 a více zaměstnanců, nebo dosahují ročního obratu alespoň 10 milionů eur (zhruba 250 milionů korun). Kromě firem ze sektoru veřejné správy se jedná hlavně o ty z oblastí energetiky, telekomunikací, vodárenství, odpadového hospodářství, zdravotnictví, ale také třeba vojenské výroby, dopravy nebo poštovních a kurýrních služeb.

Není na co čekat

Z průzkumu aliance NIS2READY (sdružuje firmy (enovation, KPMG, Alef Nula, Soitron, eLegal a Cisco) však vyplývá, že většina českých společností blížící se příchod těchto povinností zásadním způsobem podceňuje. Téměř tři čtvrtiny zatím s implementací vůbec nezačaly. Mezi firmami působícími v soukromém sektoru je na změny připravená pouze necelá pětina.

Velká část organizací s implementací změn čeká na finální znění nového zákona o kybernetické bezpečnosti. To se jim však nemusí vyplatit, určitě není na co čekat. Zákon bude přímo vycházet ze směrnice NIS2, jejíž finální podoba je známá už od konce roku 2022. Vyčkávající firmy riskují, že nestihnou včas splnit nutné požadavky.

Zákon rovněž stanovuje dva režimy – přísnější režim vyšších povinností a režim nižších povinností. Firmy přitom musí samy posoudit, do jakého režimu spadají. K tomu ale mohou využít odborné poradce, kteří jim mohou výrazně pomoci. A s tím mohou začít už nyní, například analýzou současného stavu bezpečnosti v souladu s požadavky NIS2.

Kyberútoků přibývá

Význam ochrany před kybernetickými hrozbami stále roste. Jen za loňský rok zaznamenal Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) rekordní počet kybernetických incidentů, a to 262. V předešlém roce to přitom bylo pouze 146, tedy skoro o polovinu méně. Navíc dva útoky navíc spadaly do té nejvyšší kategorie závažnosti.

Rostoucí trend počtu útoků potvrzuje i Policie ČR, podle níž došlo loni v prvním pololetí k 31 323 kybernetickým útokům na klienty bank, což představuje meziroční 15procentní růst. Průměrná škoda činila 21 522 korun, takže celkové škody se vyšplhaly na stovky milionů korun. Ke konci třetího kvartálu 2023 pak počet napadených klientů vzrostl téměř na 50 tisíc a škody se přiblížily miliardě korun.

Kyberútoků přibývá

Význam ochrany před kybernetickými hrozbami stále roste. Jen za loňský rok zaznamenal Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) rekordní počet kybernetických incidentů, a to 262. V předešlém roce to přitom bylo pouze 146, tedy skoro o polovinu méně. Navíc dva útoky navíc spadaly do té nejvyšší kategorie závažnosti.

Rostoucí trend počtu útoků potvrzuje i Česká bankovní asociace, podle níž bylo za prvních sedm měsíců tohoto roku napadeno 49 436 klientů bank, což představuje meziroční 37% nárůst. Díky efektivním zásahům se podařilo bankám od počátku roku ochránit přes 4 miliardy korun, přičemž nejvyšší dosud zachráněná částka na jednoho klienta činila 13 milionů korun. Přesto způsobené škody dosáhly 845 milionů korun, meziročně o 9 % více. Průměrná škoda na klienta se oproti loňsku snížila na 17 083 z předchozích 21 439 korun, a to nejen díky intenzivní práci bank na detekci podvodů, ale i stále účinnější edukace veřejnosti.

Počet útoků nadále poroste

Česko bylo letos ve světovém indexu NSCI ohodnoceno v rámci kybernetické bezpečnosti 98 body ze 100, což ho řadí vysoko jak v EU, tak na světě. „Rozhodně to ale neznamená, že by u nás nebyla kybernetická rizika a že by Česko nemělo co vylepšovat. Například náš průzkum z roku 2022 odhalil, že čtvrtina firem nemá dle svého hodnocení dostatečnou kybernetickou ochranu. Výzkumníci z NSCI na druhou stranu velmi kladně ohodnotili českou legislativu a infrastrukturu pro řešení kybernetického bezpečí, jako je třeba NÚKIB,“ říká analytik portálu Evropa v datech Milan Mařík.

Právě NÚKIB upozorňuje na to, že útočníci začínají využívat nástroje generativní umělé inteligence a chatboty na bázi jazykových modelů, s jejichž pomocí už nyní vytváří texty pro phishingové útoky nebo dokonce píší samotný škodlivý kód. Dá se tedy očekávat, že spolu s rychlým rozvojem těchto nástrojů bude v kontextu aktuální geopolitické situace počet útoků i nadále poroste.

Obrana bude něco stát

Implementace bezpečnostních opatření znamená pro firmy výdaje navíc. Ty by podle průzkumu neměly být extrémně drahou položkou v rozpočtu, stále se však budou pohybovat v řádech milionů korun. Většina firem podle průzkumu odhaduje, že jejich výše nepřesáhne 10 milionů korun. Asi polovina firem dokonce uvádí, že si vystačí s méně než dvěma miliony. Konkrétní rozpočet si však zatím vyčlenily jen dvě pětiny společností.

Dobrou zprávou je, že k financování nutných opatření mohou firmy využít některé dotační tituly, nicméně o této možnosti velká část z nich vůbec neví, ukázal průzkum. V problematice dotací jsou podle dat zběhlejší organizace ve veřejném sektoru, kde o využití dotací uvažují hned tři čtvrtiny dotázaných. Mezi soukromými společnostmi to ovšem je jen o něco více než třetina.

Soukromé subjekty budou moci k pokrytí těchto nákladů využít třeba dotační výzvu Digitální podnik určenou na investice do informačních technologií včetně kyberbezpečnosti. Tímto způsobem budou moci financovat až tři pětiny nákladů spojených s těmito bezpečnostními opatřeními.