NIS2 se vlnách je v médiích často skloňováno, obzvlášť když se blíží projednávání zákona o kybernetické bezpečnosti. Co ale NIS2 je? Jak připravit? Jaké povinnosti plynou podnikatelům z NIS2? Pojďme se podívat na tři nejčastější mýty, kterým manažeři stále věří a které jsou často zneužívány v marketingové komunikaci. Nezapomene ani na praktické tipy, jak zachovat klidnou hlavu.

Mýtus 1: NIS2 klade požadavky přímo na společnosti

NIS2 je směrnice EU a klade požadavky na členské státy, aby ji implementovaly do své legislativy. Na společnosti se vztahuje až národní zákon o kybernetické bezpečnosti, který z NIS2 vychází.

Může být tedy NIS2 českým podnikatelům ukradená? Ano i ne.

• Ano – NIS2 na české společnosti přímo nedopadá. Žádná „zlá EU“ nepřijde na kontrolu do firmy a nerozdá pokuty.
• Ne – NIS2 dává podnikům indicie, co je čeká v budoucnosti, až bude směrnice do českého práva převedena.

A ruku na srdce: Myslíte, že hackeři budou čekat, až bude platit nějaký zákon, vy budete mít čas se zákonu přizpůsobit, a teprve potom na vás zaútočí? Asi ne, že?

V kybernetické bezpečnosti je klíčem prevence, nikoli reakce.

Mýtus 2: NIS2 je jen bublina jako GDPR

Řada lidí má pocit, že NIS2 je jen další regulací, která se ve skutečnosti nebude vymáhat a nebude mít žádný reálný dopad. To je však omyl. Připravovaný český zákon o kybernetické bezpečnosti, který implementuje NIS2, obsahuje konkrétní povinnosti pro statutární orgány a sankce za jejich neplnění. Oproti GDPR je legislativa mnohem přísnější a lépe vymahatelná než v případě GDPR.

Mýtus 3: Existuje „krabičkové“ řešení, které pokryje požadavky NIS2/kyberzákona

Bohužel. Nic takového neexistuje a existovat ani nemůže. Implementace vyžaduje komplexní přístup, který zahrnuje technologická řešení, procesy a lidské zdroje.

Představte si svůj byznys jako poklad, který chráníte. A to včetně nástrojů, které k tomu využíváte. Myslíte, že dvě firmy budou mít zcela totožné poklady a nástroje? Těžko, že? Někdo na ochranu používá vodní příkop, někdo nedá dopustit na elektrický plot. A firmě s elektrickým plotem nové vodovodní potrubí moc nepomůže… Možná vyřeší občasný problém s přívodem pitné vody do kanceláří, což je rozhodně fajn, ale je to to klíčové? Nejsou tady důležitější naftové generátory pro případ, že vypadne (bude vypadnut) proud?

Praktické tipy

1. Nepanikařte. Nádech, výdech, jedeme dál.
2. Zjistěte, zda a jak se vás bude nový zákon dotýkat.
   • Tip: při procházení vyhlášky se nezapomeňte zaměřit i na vedlejší činnosti. Fotovoltaika nebo bioplynová stanice jsou častí podezřelí, jak se můžete dostat pod regulaci, i když vyrábíte háčkované klobouky.
   • Tip 2: dejte si pozor i na propojení s jinými organizacemi.
3. Proveďte GAP analýzu, abyste si udělali jasno, které požadavky zákona již plníte a kde máte prostor.
4. Identifikujte správně aktiva, hrozby a zranitelnosti a proveďte analýzu rizik.
5. Vypracujte plán implementace opatření.
6. Vzdělávejte celou firmu počínaje managementem a konče uklízečkami.
7. Externí pomoc může celý proces urychlit. Vyberte si spolehlivé konzultanty a dejte si pozor na „krabičková řešení“.

Vyplatí se počkat na finální znění zákona?

Ne.

Tak jednoduché to je. Finální znění zákona nezmění vaše rizika, ani nesníží pravděpodobnost phishingu na vaši účetní. Čím dříve začnete, tím lépe pro vás.

Kybernetické bezpečnost není jednorázový projekt, ale průběžný proces.

MoyaKybeon – pomůže vám s řízením rizik, evidencí incidentů a dalšími procesy, které jsou klíčové pro splnění požadavků Zákona o kybernetické bezpečnosti, DORA a ISO 27 000.