Společnosti začínají zavádět nákladná opatření spojená s příchodem NIS 2

Chystané změny na poli kyberbezpečnosti přinesou značné změny a nutné náklady do mnoha odvětví. Počet kybernetických útoků napříč celou Evropskou unií každoročně rapidně narůstá a jednotlivý aktéři proto nechtějí zůstat pozadu.

Připravované evropské směrnici NIS2 je důležité věnovat pozornost včas, neboť společnost se stále více přesouvá do kyberprostoru a stává se tak v mnoha ohledech zranitelnější. Kyberprostor je přitom v dnešní době ohrožován více než kdy dříve. Připravovaná pravidla však zasáhnou zejména soukromé společnosti.

Cyberblog proto v exkluzivním partnerství s portálem info.cz uspořádal expertní on-line debatu na téma NIS 2: revoluce v kyberbezpečnosti. Hosty byli Vladěna Sasková (NÚKIB), Pavel Štros (Datasys) a Pavel Martiník (Martiník legal).

Regulace bude zahrnovat celou řadu tržních segmentů

Nově se budou pravidla vztahovat nejen na odvětví informačních a komunikačních technologií, ale také řadu dalších segmentů a obzvláště pak na ICT. A to zejména na malé a střední operátory. „Střední a malí operátoři si uvědomují, že na ně nové povinnosti budou dopadat v nemalé míře, neboť musí plnit povinnosti stanovené směrnicí bez ohledu na velikost společnosti. Takováto regulace může významně poškodit periferní oblasti České republiky a zároveň významně zvýšit ceny“ uvedl Pavel Martiník, advokát Martiník legal. NÚKIB, který je odpovědný za transpozici směrnice do českého právního řádu, je se situací srozuměn a často ji s dotčenými subjekty komunikuje. „Komunikujeme s operátory, jsme na jednáních dlouhodobě a operátoři ví co se chystá” říká Vladěna Sasková z NÚKIB.

Přesné detaily znění směrnice však doposud stále nejsou známé, neboť finální verze bude zveřejněna koncem září nebo začátkem října letošního roku s předpokládanou platností od poloviny roku 2024. „V současné chvíli intenzivně pracujeme na vyhodnocení dopadů regulace, přičemž analýza je stále ve fázi zpracování. Jakmile bude tato fáze hotová budeme s to začít vyhodnocovat kolik subjektů bude regulováno a jak přísná pravidla pro koho budou platit. Je důležité zmínit, že všechny subjekty nebudou regulovány stejnou měrou, ale intenzita regulace se bude pravděpodobně odvíjet od velikosti a důležitosti jednotlivých subjektů“ uvedla Vladěna Sasková.

Mechanismus hodnocení dodavatelů technologií by neměl být explicitně zaměřen na konkrétní zemi či společnost

Debata se též významně dotkla připravovaného mechanismu pro hodnocení dodavatelů, který bude v blízkých měsících předložen jako návrh zákona. Inspiraci hledá v doporučení pro 5G sítě, které je nezávazným dokumentem NÚKIB. Mechanismus dopadne primárně na dodavatele ze zemí jako je Rusko nebo Čína. „Nemusíme pro negativní zkušenosti chodit nutně pouze na východ, neboť jsme se v naší praxi setkali s technologiemi, které se běžně v ČR používají a které začaly své uživatele nenadále sledovat a odposlouchávat“ vysvětluje Pavel Štros ze společnosti Datasys. Dle informací, které uvedl NÚKIB by však regulace neměla být explicitně zaměřena na konkrétní zemi či poskytovatele. NÚKIB intenzivně řeší problematiku nejen okolo společnosti HUAWEI, ale i dalších významných subjektům jakým je například antivirus Kasperski. „Kybernetická bezpečnost nejsou jenom tlačítka a drátky. Dodavatel je významný prvek kybernetické bezpečnosti, neboť produkt může být bezvadný, ale v případě vzdáleného přístupu dodavatele může dojít k vynucenému ukončení dodávek“ rozvedla Vladěna Sasková z NÚKIB.

Dle názoru Pavla Štrose ze společnosti Datasys budou finální celkové náklady na implementaci směrnice vysoké. Avšak dodává, že dle jeho názoru firmám nemusí nikdo nic sdělovat pomocí směrnice. Společnosti sami chápou, že jsou zasaženy nespolehlivostí řetězce a případnými hackerskými útoky. „Je fér říct, že i jiné evropské státy přistupují k regulaci společností, avšak s tím rozdílem, že situací řeší formou kompenzací dotčených subjektů“  upozorňuje advokát Pavel Martiník. „Měla by se spíše hodnotit samotná technologie nežli osoba dodavatele“ dodává.

Kybernetická bezpečnost, hodnocení dodavatelů a implementace 5G toolboxu jsou hlavními prioritami nastávajícího Českého předsednictví EU. Přijetí zákonných norem je tak pouze otázkou času, avšak jak s úsměvem řekla Vladěna Sasková „I sebelepší věc, kterou předložíme do sněmovny začne být okamžitě všemi torpédována“.

Michael Fanta, redakce Cyberblog

Foto: Pixabay