BDO: Zákon o kyberbezpečnosti bude znamenat nové náklady až pro 10.000 firem

Zákon, jehož část vychází z evropské směrnice NIS2, má podle vlády přispět k posílení kybernetické bezpečnosti Česka. Návrh počítá s rozšířením okruhu orgánů a osob, na který dopadá a jehož ochrana a fungování jsou v ekonomickém a celospolečenském zájmu. Hlavním smyslem je dosáhnout toho, aby důležité organizace zaváděly preventivní kroky k posílení své kybernetické bezpečnosti včetně hlášení a zvládání kybernetických bezpečnostních incidentů.

Nový zákon zavádí povinnost nejen pro velké hráče v energetice, zdravotnictví, dopravě, ICT službách, potravinářství či veřejné správě, ale i pro střední a menší firmy, pokud jsou součástí širší skupiny nebo působí jako klíčoví dodavatelé.

Odhady nákladů na dosažení souladu se zákonem se podle BDO různí podle velikosti a připravenosti jednotlivých subjektů. “U menších a středních podniků odhadujeme jednorázové náklady na několik set tisíc korun, v některých případech až na jednotky milionů. K tomu se přičítají průběžné výdaje na udržování bezpečnostních opatření a školení,“ uvedl Tomáš Kubíček z BDO.

Na to, jaké kontroverze návrh vzbuzoval zejména kvůli širokým pravomocem pro Národní úřad pro kybernetickou a informační bezpečnost a také v souvislosti s prověřováním dodavatelského řetězce, tak podle ředitele společnosti APPSEC Adama Paclta prošel Poslaneckou sněmovnou poměrně hladce. “Překvapilo mě, jak vehementně proti němu bojovaly různé lobbistické skupiny, i když šlo jednoznačně o pozitivní přínos pro bezpečnost státu,“ dodal.

Jednou z oblastí nové legislativy je e-mailová komunikace, kterou útočníci zneužívají k phishingovým útokům. “Firmy budou muset umět phishingové útoky včas detekovat, mít školený personál schopný je rozpoznat a také implementovat zabezpečení e-mailové komunikace pomocí technologií jako DMARC, která chrání před těmito hrozbami tím, že ověřuje pravost odesílatele a definuje postup pro nakládání s podezřelými zprávami,” podotkl Libor Nádvorník ze společnosti Mailkit.

Zákon se naopak přímo nezaměřuje například na umělou inteligenci, jejíž bezpečné používání upravuje jiná norma, ale klade důraz na komplexní řízení kybernetických rizik. To zahrnuje i technologie AI, zejména pokud jsou součástí kritických systémů. “Firmy využívající AI by měly zvážit, zda provozovat tyto systémy v cloudu, nebo na vlastní infrastruktuře. Cloudové platformy nabízejí škálovatelnost a výkon, ale představují rizika ochrany dat a dodržování legislativy. Směrnice NIS2 a nařízení AI Act jsou dva klíčové legislativní nástroje EU, které se doplňují v oblasti kybernetické bezpečnosti a regulace umělé inteligence a přinášejí rámec pro zajištění bezpečnosti,“ dodal ředitel Ydeal Group Zdeněk Valut.

Dotčené firmy budou muset podle Kubíčka přijmout komplexní soubor bezpečnostních opatření – technických i organizačních. Jde o zavedení technologií na ochranu sítí a dat, tvorbu interní dokumentace, školení zaměstnanců či definování bezpečnostních rolí a procesů řízení incidentů. Klíčové je také hlášení kybernetických incidentů Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) do 24 hodin. Zároveň bude nutné mít připravené krizové scénáře a plány obnovy provozu. Bez nich se firmy v případě incidentu vystavují vysokému riziku provozní paralýzy. Firmy se budou muset rovněž registrovat u NÚKIB a absolvovat pravidelné audity bezpečnosti. Včasná příprava tak bude klíčem k bezproblémovému přechodu na novou legislativu.