V minulém díle seriálu Regulace podle NIS2 jsme se věnovali výjimkám a odchylkám z pravidel, podle kterých se určí, na koho bude kybernetická regulace dopadat. Poukázali jsme na některé nelogičnosti v národní úpravě, kdy se registrátoři domén, lhostejno jak velcí, lhostejno kolik domén mají ve své správě, budou muset kyberbezpečnostním pravidlům přizpůsobit podle toho, jestli provozují vlastní veřejný DNS server, nebo ne, zatímco webhosting, který takový server přirozeně používá, rovnou pod přísnější regulaci spadne tehdy, pokud bude spravovat alespoň 10 tisíc zákaznických domén.
Každá legrace něco stojí, a tak se v tomto díle podíváme na finanční stránku celé věci i na to, jak a kdy se začít připravovat na nová pravidla. Ta by podle očekávání měla vstoupit v platnost ve čtvrtém čtvrtletí příštího roku. Podmiňovací způsob je na místě, nový zákon ještě stále neprošel ani vládou, natož parlamentem a konečné vypořádání připomínek v eKlepu také dosud chybí. Podle odborníků ale není zatím důvod se znepokojovat. Expert Jan Tomíšek z Rowan Legal v našem podcastu odhadl, že nový kybernetický zákon by se do vlády mohl dostat v lednu a sněmovnou projít do letních prázdnin, aby se vše stačilo přijmout do října, jak směrnice NIS2 předpokládá.
ROWAN LEGAL je přední tuzemskou advokátní kanceláří specializující se na právo IT, kybernetickou bezpečnost, telekomunikace, řešení sporů a arbitráží, korporátní a obchodní právo, duševní vlastnictví a hospodářskou soutěž včetně veřejných zakázek. Mezi její klienty patří největší národní a mezinárodní korporace včetně veřejných institucí. V kancelářích v Praze a Brně zaměstnává přes 100 spolupracovníků, z toho více než 90 zkušených právníků pravidelně oceňovaných v tuzemských i mezinárodních oborových žebříčcích.
ROWAN LEGAL, partner seriálu Regulace podle NIS2.
Nebudeme se proto zaobírat variantou, co by se stalo, pokud by zákon vůbec neprošel, nebo by prošel ve významně pozměněné podobě (jednak pravděpodobnost úplného ohrožení legislativní cesty tohoto zákona vzhledem ke konstelaci ve vládní koalici a poměru sil není vysoká a jednak je to spíše riziko utopených nákladů).
Daleko pravděpodobnější varianta, se kterou by firmy měly počítat, je, že zákon neprojde úplně hladce a všemi místy hned napoprvé a na některé zastávce své pouti zákonodárným procesem se zadrhne. Tedy ve svém důsledku začne platit spíše později než dříve. Výhodou je poměrně velkorysá legisvakanční lhůta. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) počítá s plnými 12 měsíci na to se novým podmínkám přizpůsobit a začít plnit uložené povinnosti.
Začněte analýzou, na nábor lidí je čas. Nebo ne?
Ačkoliv tento úřad sám nabádá k tomu přípravy nepodcenit a nečekat se zahájením příprav až do chvíle, kdy norma vyjde ve Sbírce zákonů, přílišné hujerství také není tak docela ku prospěchu. Nyní je čas na zmapování terénu, zjistit, jaký je stávající stav, co je potřeba chránit a co pro tu ochranu bude potřeba udělat. Jako výchozí krok tuto prvotní analýzu doporučuje i NÚKIB spolu s vypracováním tzv. business impact analýzy, tedy jaké dopady na společnost by mělo narušení řádné funkce jednotlivých systémů. A nejde jen o nedostupnost služby, ale i o ohrožení integrity a důvěrnosti dat.
Jak už několikrát v našem seriálu zaznělo, ve výhodě jsou organizace, pro které kyberbezpečnost není sprosté slovo a které jí věnují pozornost, ať už na základě stávajícího kyberzákona, kvůli tomu, že mají, nebo chtějí mít certifikaci ISO 27000, anebo se dobrovolně zaobírají úvahami nad tím, co udělat, aby o důležitá data nepřišly. Takových subjektů není vůbec málo a mají buď osvícené, nebo už přesvědčené vedení, co bude mít pro přijímané bezpečnostní kroky pochopení.
„Je důležité kyberbezpečnost nevnímat jako šikanu. Management by měl mít zájem na tom, aby data jeho zaměstnanců a klientů byla v bezpečí. Aby nemohlo docházet k jejich kompromitaci nebo zneužití. Může to být zásadní reputační riziko, které by mohlo společnost poškodit,“ varuje expertka na právo IT advokátka Lucie Balýová. Také ona potvrzuje, že organizace, pro něž kyberbezpečnost není novinkou, získají náskok. „Dost možná budou schopny všechny úkoly vyplývající z nové regulace zvládnout svépomocí, nebo jen s drobnou dopomocí externistů,“ odhaduje náročnost nových úkolů.
S velkým otazníkem je načasování alokace lidských zdrojů. Zejména organizace s přísnější regulací si nevystačí s jedním pracovníkem vyčleněným na celou kyberbezpečnost a v minimalistickém, lowcostovém scénáři budou potřebovat alespoň 3 placené činovníky. Je jasné, že pokud je přijmou teď, dávno předtím, než regulace vstoupí ve formě nového kyberzákona v účinnost, budou to předčasné náklady. Jak ale současně varoval Jan Tomíšek, odborníků schopných tyto funkce vykonávat je na pracovním trhu omezené množství a není vyloučeno, že až je bude organizace za dva roky potřebovat, mnoho na výběr už nebude.
Pozor na zázračné implementátory NIS2 na klíč
NÚKIB, ale i advokáti potom varují před množícími se nabídkami na internetu typu „posoudíme soulad vaší organizace s NIS2“ nebo „zavedeme vám NIS2 na klíč“. Radí nenechat se napálit vševědoucími implementátory směrnice, když ta žádné konkrétní požadavky neupravuje a všechno se bude řídit až připravovaným kyberzákonem.
„Zavedení principů z NIS2 nezvládne jedno školení nebo balíček dokumentů z výhodné nabídky. Kdo se ale problematice kybernetické bezpečnosti dlouhodobě věnuje, toto dobře ví,“ potvrzuje Balýová. Ostatním doporučuje napřed získat informace, co pro jejich firmu NIS2 znamená, a teprve následně řešit, co k tomu bude potřeba provést. Připomněla také, že podobný boom pochybných nabídek zázračné pomoci přišel už s nařízením GDPR upravujícím ochranu osobních údajů.
„NIS2 se velmi často srovnává právě s GDPR. Jedná se však o mnohem komplexnější a rozsáhlejší problematiku. Jde o předpis s menším dopadem co do počtu dotčených subjektů, ale pravděpodobně vyššími nároky na implementaci,“ přidává srovnání advokátka Balýová.
Kyberbezpečnost nebude zadarmo
Odhadnout, kolik směrnice NIS2 a z ní odvozené povinnosti bude regulované subjekty stát, není jednoduché. V závislosti na druhu regulace i poskytované služby a velikosti subjektu se budou náklady na straně soukromých společností lišit klidně o mnoho řádů. Pokud se bude jednat o firmu v režimu nižších povinností, kde už se teď otázce kyberbezpečnosti má kdo věnovat, na personálních nákladech se nový kyberzákon neprojeví. I v případě lowcostového řešení bude potřeba uzpůsobit procesy a informační systémy pro komunikaci s NÚKIBem, resp. týmem CERT/CSIRT. Část financí spolkne povinné školení a spousta administrativy.
NÚKIB zveřejnil orientační odhad nákladů na zavedení a následné provádění bezpečnostních opatření v rámci jednoho zabezpečeného systému na 800 tisíc až 1,5 milionu korun. To zhruba odpovídá ročním mzdovým nákladům na jednoho až dva pracovníky, kteří se této problematice ve firmě budou věnovat. Pokud se podíváme na přísněji regulovaný subjekt, tedy v režimu vyšších povinností, kde nelze bezpečnostní role podle kyberzákona jednoduše kombinovat a sdružovat stylem „one man show“, tam jen roční mzdy na těchto povinných pozicích budou vyšší než horní hranice odhadů úřadu. A do toho nejsou započteny žádné externí kybernetické audity, žádné penetrační testy, žádné náklady na úpravu hardwaru ani softwaru, prostředky na zálohování a obnovu systémů po incidentech.
Přitom například Asociace provozovatelů mobilních sítí (APMS) ve zveřejněné studii odhadla jen náklady na výměnu hardwaru v důsledku případného rozhodnutí NÚKIBu razit politiku „co je čínské, to je špatné“ na téměř 18 miliard korun. Známe operátory, jakkoliv by tento odhad mohl být účelově nadsazený, i tak se lze bavit o miliardách korun, které by je NIS2 mohlo stát, pokud přístup tuzemského regulátora nebude zdrženlivý.
Když už je řeč o mobilních operátorech, v době předtím, než novela zákona o elektronických komunikacích zavedla horní sazby pokut procentem z obratu, někteří si uměli spočítat, že nedodržovat zákon se jim vyplatí. Tedy že pokud některou povinnost nebudou dodržovat a dostanou za to od regulátora pokutu, byť v maximální možné výši, bude to pořád míň, než kolik si porušením povinnosti vydělají.
Dnes už to neplatí a tato úvaha by se operátorům velmi rychle vymstila. A podobně to platí i pro regulaci v kyberbezpečnosti. Z dřívějšího dílu víme, že i tady lze pokuty vyměřovat procentem z ročního celosvětového (!) obratu, anebo mohou dosahovat až stovek milionů korun. Varianta nedělat vůbec nic a čekat, zda přijde kontrola, a jednou za čas zaplatit případnou pokutu s cílem ušetřit za implementaci opatření v kybernetické bezpečnosti je krátkozraká a spíše se nevyplatí.
V příštím díle našeho seriálu se můžete těšit na podcast s osobou nejpovolanější, která má v rámci NÚKIBu implementaci směrnice NIS2 na starosti.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU