A rázem je to tu zase: „Vyhněte se sankcím a vysokým pokutám“ … „problémy, které fatálně poškodí vaše podnikání“ … „pokuta až deset milionů eur“. Strach je zkrátka v marketingu mocná čarodějka a příležitost udělat horečnatý emocionální byznys si mnoho konzultačních firem nechce nechat uniknout.

Pojďme celou věc trochu zchladit a pátrat po skutečném meritu věci. Dáváme k dispozici pět bodů, jak postupovat tak, abyste přípravu na příchod nového zákona zvládli v co největším klidu.

1. Kybernetická bezpečnost je opravdu problém.

To nejdůležitější je třeba říci hned úvodem. Kybernetická bezpečnost je obrovské téma současnosti. Počet útoků na naše data, citlivé osobní údaje a kritickou IT infrastrukturu roste každý měsíc. To jsou statistiky, jež neošálíte. Stejně jako skutečnost, že Češi jsou pak v evropském měřítku dlouhodobě mistry v podceňování hrozeb. Argumenty typu „my nejsme dost velcí“ nebo „naše data přece nikoho nezajímají“ či oblíbené „něco tam máme a to asi stačí“ jsou typickými předjezdci velkého problému. Proto je dobré řešit svoji kybernetickou bezpečnost bez ohledu na aktuální znění zákonů. I když jste třeba firma či instituce, jíž se legislativa nakonec nedotkne. Mnoho různých certifikací typu ISO vás možná činí důvěryhodnými v očích klientů, ale v každodenní realitě už často neobstojí.

2. Přesné znění nového zákona zatím nikdo nezná.

To, jaký je kyberbezpečnost problém, si stát či Evropská unie uvědomují opravdu dobře. Právě proto připravili NIS2 – novou směrnici Evropské unie o kybernetické bezpečnosti. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) navrhl v této souvislosti zcela nový zákon. V prvních měsících letošního roku vyzval odbornou veřejnost k zasílání podnětů k návrhu právních předpisů. Teď celá problematika míří do standardního legislativního procesu. Očekává se, že by k jejímu projednávání mělo dojít v srpnu letošního roku. Pozor, toto je opravdu důležité! V současnosti neexistuje oficiální znění, konkrétní právní norma ani jasné prováděcí předpisy. Přesto už najdete na trhu konzultační firmy, které se vás snaží vystrašit, operují s výší pokut a mají pro vás „onu jedinou správnou strategii“. Důležité je také dodat, že samotná účinnost zákona se očekává v druhé polovině roku 2024. To samozřejmě není důvod k úplnému klidu, ale zároveň to ani nemá vést k horečnatým rozhodnutím.

3. Právní pohled nestačí.

NIS2 je velké téma. Proto je také příležitostí k byznysu. Máme možnost pozorovat, jak téma prodávají konzultantské firmy z nejrůznějších oblastí. Od právních společností, přes auditory až po čerstvě vzdělané obchodníky. Pokud jste právě vy jednou z dotčených šesti až jedenácti tisíc firem či institucí (kdo ví, když přesné znění zákona zatím není na stole, ale s čísly se už přesto měsíce žongluje ve veřejných debatách), bezpečnostní strategie by pro vás neměla být cestou, jak se „přikrýt“ před novou zákonnou úpravou. Ale příležitostí se na celou problematiku podívat znovu. Udělat si inventuru toho, co už dnes využíváte, jak to spolu komunikuje a jak jste chránění před hrozbami. Právní pohled je v tomto příliš úzký, je opravdu na místě řešit to se specialisty na oblast kyberbezpečnosti. Kvalitní analýza má obsahovat nejen „fajfky“ za splnění řádků v dotazníku, ale musí poskytnout také technologický pohled. Správný specialista na IT a cybersecurity dokáže navrhnout nejen správné produkty a služby, ale dokáže také poskytnout informace důležité pro budoucí finanční plánování (náklady na správu, provoz, podporu apod.). Pokud experty nemáte ve firmě (a je dobré zvážit, jestli je do budoucna nemít), zkuste takovou analýzu provést s externí společností.

4. Inventuru neodkládejte, dobří lidé nejsou k mání.  

Nový zákon o kybernetické bezpečnosti vyvolá mimořádnou poptávku po službách „bezpečáků“ – odborníků na oblast IT security. Realita je však pohříchu taková, že je to dlouhodobě jedna z nejvíce inzerovaných pozic a kvalifikovaní lidé prostě nejsou na trhu k mání. Tím, jak lukrativní taková pozice už dnes je a do budoucna bez jakýchkoli pochyb bude, se dá v příštích letech očekávat příliv nových cybersecurity mozků. Bohužel se tak ale nestane do druhé poloviny roku 2024, kdy zákon s největší pravděpodobností začne platit. Proto je dobré projít si celou architekturu IT bezpečnosti včas. Začít od současného stavu a postupně doplnit potřebná řešení, služby a produkty tak, abyste vše nemuseli řešit v posledních dnech a týdnech před účinností zákona o kybernetické bezpečnosti. I tady totiž bude logika byznysu pracovat ve prospěch vyšších cen dodávek konzultantských hodin či potřebného softwaru nebo hardwaru.

5. Rozum do hrsti. Vsaďte na zkušenosti.

Rozum velí – nepanikařit, ale zároveň nijak zbytečně neodkládat přípravu. Protože, až budeme znát finální znění nového českého zákona o kybernetické bezpečnosti, bude příjemné mít náskok a vědět, co přesně bude třeba doplnit, rozšířit nebo vylepšit. Rozhodně projděte celou problematiku se specialisty na oblast IT a cybersecurity. Zvažte, jestli se vám vyplatí je zaměstnávat interně, nebo je zapojit externě. Na závěr už jen douška. Až budete hledat vhodného partnera, zajímejte se o zkušenosti, o již realizovaná řešení, o reference, o historii společnosti v oblasti cybersecurity. Právě proto, že NIS2 je velké téma, velká byznys příležitost a velký „buzzword“ dneška. A čerství byznysoví dravci už dnes zavětřili kořist a už dnes mají „řešení“. Ačkoli zákon ještě neexistuje.