Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) se chystá ještě letos vydat nový zákon o kybernetické bezpečnosti. Ten bude regulovaný novou směrnicí NIS2 (Network and Information Systems 2) schválenou Evropským parlamentem a Radou EU. Hlavním cílem směrnice NIS2 je posílení bezpečnosti sítí a systémů na území EU. V případě porušení zákona hrozí firmám obrovské pokuty.
Chystaný obsah NIS2
Směrnice obsahuje sedm bodů, které mají být dodržovány příslušnými podniky a odvětvími. Mezi požadavky patří rychlá reakce na incidenty, provádění analýzy rizik, zavedení politik týkajících se bezpečnosti informačních systémů a dodavatelského řetězce, používání šifrování, zveřejňování zranitelností a dvoufázový přístup k hlášení incidentů. Tento přístup bude také vyžadovat, aby organizace nahlásily incident nejpozději do 24 hodin od jeho objevení a poté do jednoho měsíce předložily závěrečnou zprávu.
Směrnice NIS2 se bude zejména vztahovat na střední a velké firmy, které zaměstnávají alespoň 50 zaměstnanců nebo mají roční obrat přesahující 250 milionů korun. Bude se týkat celkem 18 odvětví, mezi které například patří zdravotnictví, energetika, bankovnictví, infrastruktura finančních trhů a další.
Nová pravidla stanovená ve směrnici NIS2 si bude moct každý členský stát Evropské unie individuálně zakomponovat do svých zákonů, ale je jejich povinností dodržet při přípravě konkrétních zákonů nezbytné minimum. V případě České republiky se bude jednat o rozšíření zákona o kybernetické bezpečnosti, který Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) plánuje vydat koncem letošního roku 2024.
Podle Jany Večerkové, zakladatelky a ředitelky intenzivních kurzů programování Coding Bootcamp Praha, je ovšem implementace některých ustanovení zákona o kybernetické bezpečnosti stále pomalá, a tudíž se dá těžko odhadnout, jak dlouho po uvedení rozšířeného zákonu o kybernetické bezpečnosti potrvá, než vstoupí v plnou platnost. „Navíc má Česká republika nedostatek kvalifikovaných odborníků na kybernetickou bezpečnost,“ dodává Jana Večerková.
Podle NÚKIB došlo v roce 2023 celkem k 262 kybernetickým útokům, což je oproti roku 2022 téměř dvojnásobek. Určitý podíl na tom má i všudypřítomná umělá inteligence. „AI umožňuje kyberzločincům automatizovat a zdokonalovat jejich útoky. Může být například použita k efektivnější identifikaci a zneužití zranitelností firmy, okamžitému shromažďování a analýze dat, provádění přesvědčivějších phishingových kampaní,“ říká Jana Večerková.
Mezi hlavní body, jak efektivně bránit svou firmu ve výskytu kybernetických útoků, Jana Večerková uvádí:
- Pravidelně aktualizovat software a systémy.
- Zvyšovat povědomí o kybernetických hrozbách a rizicích mezi zaměstnanci a uživateli.
- Investovat do adekvátních technologií a služeb kybernetické bezpečnosti.
- Implementovat robustní bezpečnostní politiky a postupy.
- Pravidelně provádět penetrační testy a audity kybernetické bezpečnosti.
