Drtivá většina českých firem netuší, zda se na ně bude vztahovat zpřísnění kyberbezpečnostních opatření podle evropské směrnice NIS 2, která se promítne do českého zákona o kybernetické bezpečnosti v druhé polovině příštího roku, či nikoli. Z průzkumu, který pro společnost APPSEC realizovala agentura Ipsos vyplývá, že 80 % zaměstnanců IT oddělení tuzemských firem buď netuší, zda se konkrétně jejich společnosti NIS 2 bude týkat, nebo vůbec nevědí, co to NIS 2 je.

„Výsledky průzkumu nás vůbec nepřekvapují. Informovanost čes­kých firem o NIS 2 je tristní. Vzhledem k tomu, že nesplnění podmí­nek této směrnice může v případě úspěšného kybernetického útoku představovat vážný problém a napadená organizace musí počítat s vysokou pokutou, mají české firmy nejvyšší čas se touto záležito­s­tí zabývat,“ říká Adam Paclt, generální ředitel společnosti APPSEC.

Adam Paclt

Evropská směrnice míří na organizace a firmy, které poskytují služby důležité pro fungování společnosti a zároveň mají nejméně 50 zaměstnanců nebo dosahují ročního obratu alespoň 10 milionů euro (přibližně 240 milionů korun).

Evropská směrnice NIS 2 navazuje na současnou legislativu, ale klade mnohem vyšší nároky na zabezpečení interních systémů také na celý dodavatelský řetězec dotčených organizací, takže v důsledku bude mít dopad i na řadu menších firem. Toho si ale jejich představitelé často nejsou vědomi.

V průzkumu agentury Ipsos pro společnost APPSEC připustilo pouze šest procent respondentů, že se NIS 2 přímo dotkne jejich společnosti. Dalších pět procent tvrdí, že se jich dotkla již současná bezpečnostní směrnice, a tak mají z hlediska kybernetického zabezpečení splněno. Téměř devět procent zaměstnanců IT oddělení českých firem si je jisto, že se jich NIS 2 nedotkne, ovšem více než třetina (36 %) přiznává, že neví, a takřka čtvrtina (23 %) si není jistá.

Více než pětina respondentů průzkumu (21 %) dokonce přiznala, že vůbec neví, co to NIS 2 je. Nová bezpečnostní norma přitom vstoupí v platnost za necelý rok a zavádí například povinnost hlášení kybernetických incidentů do 24 hodin od jejich odhalení. Na dodržování směrnice bude dohlížet Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) a nesplnění bezpečnostních opatření může vést k vysokým pokutám, které mohou být u některých subjektů až likvidační.

„Pro organizace a firmy je důležité, aby prověřily odolnost svých systémů proti kybernetickým útokům a na základě těchto testů zvolily odpovídající bezpečností řešení. Ideální prověrkou jsou penetrační testy za plného provozu, které odhalí všechny potenciální bezpečnostní slabiny,“ dodává Adam Paclt.

Foto: APPSEC, Ingimage