Desítky milionů korun, ale i ztráta klientů a reputace může stát firmy kybernetický útok, jejichž počet stále narůstá. Podle údajů Národního centra Průmyslu 4.0 své data zabezpečuje většina firem, otázkou ovšem zůstává jak. Zvýšit odolnost českých firem má nový zákon o kybernetické bezpečnosti, který pro tisíce firem definuje způsob, jak se chránit.
Podle podzimního průzkumu Svazu průmyslu a dopravy plánovalo, v reakci na stále rostoucí počet hackerských útoků, zvýšit svou kybernetickou bezpečnost šedesát tři procent firem. Nyní se situace změní. Nová technická, provozní i organizační opatření na ochranu svých údajů budou muset přijmout všechny firmy, kterých se bude týkat nová evropská směrnice nazvaná NIS2. Konkrétní povinnosti začnou pro dotčené firmy platit už ve druhé polovině roku 2024. Na jejich plnění bude dohlížet Národní úřad pro kybernetickou a informační bezpečnost.
Nová legislativa se bude odhadem týkat minimálně šesti tisíc podniků, zatímco pod dosavadní zákon týkající se kybernetické bezpečnosti spadalo pouze okolo čtyř set subjektů. „Spekuluje se zároveň o tom, že finální číslo může ještě o pár tisícovek narůst,“ říká Libor Šrám, odborník na kyberbezpečnost ze společnosti BDO.
I malých firem se regulace může dotknout, zvláště když jsou v holdingu
Vznikající zákon o kybernetické bezpečnosti se bude týkat zejména odvětví energetiky, dopravy, zdravotnictví, nakládání s vodou a odpady. Dále se dotkne digitální infrastruktury a poskytování digitálních a ICT služeb, veřejné správy či výroby, zpracování a distribuce potravin. Stejně tak jako výroby počítačů nebo elektronických a optických zařízení. „Podniky z těchto oblastí, které mají více než padesát zaměstnanců nebo dosahují ročního obratu alespoň deset milionů euro (zhruba dvě stě padesát milionů korun), mají téměř jisté, že se jich nová regulace bude týkat,“ uvádí Šrám.
Kromě velkých a středních podniků by měly zbystřit i menší firmy, pokud jsou součástí holdingu. Zákon je totiž nebude posuzovat jednotlivě, ale spolu s ostatními firmami ve skupině jako celek.
„Zákon se bude vztahovat i na všechny organizace, které jsou jedinými poskytovateli služby, která je nezbytná ze sociálního nebo ekonomického hlediska anebo by narušení jejich služby mohlo mít významný dopad na veřejnou bezpečnost, zdraví osob nebo by mohlo vyvolat významné riziko zejména s přeshraničním dopadem, a to bez ohledu na velikost,“ upozorňuje odborník na kyberbezpečnost.
Případné pokuty mohou dosahovat výše až čtvrt milionu korun
Při nedodržení zákonných povinností hrozí firmám sankce až 250 milionů korun nebo ve výši dvou procent čistého celosvětového ročního obratu. Rozhodující je vyšší částka.
Firmy budou muset hlásit všechny zaznamenané kyberbezpečnostní útoky NÚKIBu. „Součástí tohoto incident managementu je i podávání zpráv o průběhu incidentu, jeho dopadech a protiopatřeních k jeho řešení a současně informování vlastních zákazníků,“ uzavírá Šrám
Autor: Alena Burešová