„V Česku nepřikládáme normám týkajícím se kyberbezpečnosti takovou váhu. Možná jsou tak složité, že se v nich firmy ztrácejí, a nakonec na ně rezignují,“ říká Tomáš Kudělka v našem novém podcastu. Jako ředitel pro technologický consulting a cybersecurity v KPMG Česká republika se s tím při své práci setkává poměrně často. Nová norma Evropské unie NIS 2 to však podle Tomáše zlepší. Bude praktičtěji formulovaná a vtáhne do hry násobně větší počet subjektů.
O2 CyberCast – podcast pro všechny, které zajímá kyberprostor a jeho bezpečnost. Pořadem provází ředitel bezpečnosti O2 Radek Šichtanc. S Tomášem Kudělkou si povídal mimo jiné i o tom, jak jsme na tom s digitalizací a důrazem na kyberbezpečnost v porovnání s ostatními státy Evropské unie, a hlavně o tom jakých oborů a firem se dotkne nadcházející regulace Evropské unie NIS 2.
Mrkněte na video nebo si níže přečtěte přepis těch nejdůležitějších otázek a odpovědí.
Jak jsou na tom české firmy s digitalizací v porovnání s jinými vyspělými státy?
Asi bych to rozdělil na oblast privátního a státního sektoru. V případě soukromých společností na tom nejsme zase až tak špatně, co se týče produktů. Problémy ale vidím ve stabilitě IT systémů a jejich schopnosti řešit všechno online v reálném čase. Například západní banky přišly v posledních pěti až deseti letech s poměrně revoluční transformací backendů, která ty naše teprve čeká. Hodně práce je pak před námi ve státním sektoru. Podle studie Digital Economy & Social Index z roku 2021 jsme v úrovni digitalizace mezi 27 státy Evropské unie skončili na 18. místě, což není úplně úspěch. Navíc se budeme muset vyrovnat nejen s potřebami občanů, ale také s regulacemi ze strany Evropské unie. Tady bych zmínil jednu poměrně zásadní, což je nařízení o elektronické identifikaci a důvěryhodných službách pro elektronické transakce na vnitřním evropském trhu eIDAS II.
To má vejít v platnost v roce 2023 a bude povinné pro všechny unijní státy. Můžeš vysvětlit, v čem bude spočívat?
eIDAS II bude povinně zavádět něco jako digitální identitu, kterou u nás dneska stále suplujeme například bankovní identitou. Je to tedy něco, co budeme muset poměrně zásadně řešit. Pro občany to ale bude mít přínos v tom, že zase více věcí zařídí online a budou si taky moct svoji národní digitální identitu přenést v rámci celé Evropské unie.
Možná bychom mohli vysvětlit, proč vlastně unie podobné směrnice a nařízení přijímá a proč se je snaží harmonizovat napříč členskými zeměmi.
V Evropské unii je zakotven princip volného pohybu osob, zboží a služeb a tato opatření směřují k tomu, aby tento pohyb byl bezpečný, důvěryhodný a bez závažných rizik. Aby to ale fungovalo, je potřeba, aby to ideálně platilo ve všech zemích stejně. Ta harmonizace je nastavena tak, že Evropská unie vydá nějaké minimální požadavky, které si jednotlivé státy mohou případně zvýšit, nemohou je ale snižovat.
Jak k podobným bezpečnostním opatřením přistupují Češi?
Podle toho, jak se bavím s kolegy z KPMG z jiných zemí, bych řekl, že důraz na bezpečnost je v Česku oproti jiným státům unie menší. A to dokonce i ve srovnání se státy, do kterých bychom to asi neřekli. Například i v takovém Rumunsku zaznamenává kolega na stejné pracovní pozici, jakou mám u nás já, větší poptávku po zajištění souladu s bezpečnostními regulacemi EU. My v Česku tomu zatím nepřikládáme takovou váhu možná i proto, že ty zákonné normy jsou tak složité, že se v nich firmy ztrácejí, a nakonec na ně radši rezignují. O to víc práce ale budeme muset v téhle oblasti velmi brzy udělat.
Můžeš stručně popsat, jaká legislativa u nás v souvislosti s kybernetickou bezpečností v současné době platí?
Základními regulacemi jsou zákon o kybernetické bezpečnosti a vyhláška o kybernetické bezpečnosti, které aplikují stávající evropskou direktivu NIS 1 (Network and Information Security 1) do naší národní legislativy. Ten zákon a vyhláška dopadají zejména na kritickou infrastrukturu státu, to znamená jen na vybrané entity. To by měla změnit připravovaná směrnice NIS 2, ke které spustil NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) podrobný vysvětlující web.
Co si myslíš o certifikátech vycházejících z norem ISO 27000? Jsou v oblasti kyberbezpečnosti dostačující, nebo už jsou překonané?
Myslím, že už poněkud devalvovaly hlavně kvůli tomu, jak benevolentně s nimi někteří auditoři a firmy pracují. Nedivím se NUKIBu, že říká, že se na tyhle certifikace nehodlá spoléhat, protože přišli do společnosti, která je měla, a přitom tam chyběly základní bezpečnostní věci.
Pomůže nám v tomhle ta NIS 2? Kterých dalších firem oproti NIS 1 by se měla týkat?
Filozofie NIS 2 se zaměřuje na služby a nějakým způsobem hodnotí, jestli jsou v rámci sektoru základní nebo důležité. Směrnice se tak týká v podstatě všech firem a organizací z důležitých odvětví jako jsou zdravotnictví, telekomunikace, finanční služby, vodní hospodářství, odpadní vody nebo třeba energetika. Dále jsou tam kritéria obratu (nad 10 milionů) a počtu zaměstnanců (nad 50 lidí). Tím pádem už to dopadne i na střední podniky a NÚKIB může také ze strategických důvodů povinnost řídit se normou NIS 2 rozšířit i na vybrané menší firmy. K tomu ještě musíme připočítat i dodavatelské řetězce, které s firmami spadajícími pod NIS 2 spolupracují, protože i ty musejí být s normou v souladu. Tím se dosah nového opatření ještě násobí. Na tom, jak přesně se to udělá v té národní legislativě, se ještě pracuje. Obecně ale budou muset ty firmy začít řešit kybernetickou bezpečnost ze zákona, zatímco doposud ji řešily jenom, když to pokládaly důležité.
Nebo jim možná pro takové úkoly zatím chyběli ti správní lidé. Jaké pozice jsou v tomto případě nejdůležitější?
Klíčovou roli má nepochybně bezpečnostní ředitel, který musí umět komunikovat se zbytkem managementu a přesvědčit finančního ředitele, aby na tyhle účely poskytl peníze. Dobří technici jsou fajn, ale bez dobrého procesního nastavení a managementu to fungovat nebude. Zákonnou zodpovědnost za kyberbezpečnost pak podle NIS 2 nově nemá bezpečnostní ředitel ani management, ale statutární orgány, což by zase mohlo přispět k tomu, že firmy začnou tuto oblast brát vážně.
Kromě povinnosti sdílení incidentů by nyní podle NIS 2 měly firmy sdílet i hrozby. Jak důležité to podle tebe je?
Pokud to bude fungovat, tak to bude velká věc. Když se firmy dozví o nějaké hrozbě, tak nejen, že se před ní ochrání sami, ale pomůžou ochránit se i druhým. Pokud to povede k tomu, že vznikne třeba nějaká evropská CVE databáze, přispěje to hodně ke zvýšení úrovně bezpečnosti.
Kdy se podle tebe nová evropská směrnice NIS 2 propíše do českých zákonů?
Pokud budu vycházet z odhadů NÚKIBu, který zveřejnil na svých stránkách, tak by konečné znění NIS 2 mělo být schváleno do konce letošního roku a změna našeho zákona o kybernetické bezpečnosti by měla přijít někdy v roce 2024.
V čem se NIS 2 liší od předchozí normy NIS 1:
- dopadá na více společností, mimo jiné i na střední firmy nad 50 zaměstnanců
- definuje, že zodpovědnost za kybernetickou bezpečnost má statutární orgán
- dodržování normy je vynutitelné pokutami (2 % z ročního celosvětového obratu až do výše 10 milionů euro)
- povinnost dopadá i na dodavatelský řetězec, příslušný subjekt musí zajistit, aby i jeho dodavatel byl v souladu s NIS 2
- ustavuje povinnost sdílení informací o incidentech, hrozbách a zranitelnostech
- ustavuje povinnost mít vypracovanou kvalitní analýzu rizik, která určuje, jaká má firma informační aktiva a kdo je za ně zodpovědný
- Podrobnosti najdete na stránkách NUKIBu
Všechny díly O2 CyberCastu o kyberprostoru a jeho bezpečnosti najdete na YouTube, Spotify, Google Podcasts a Apple Podcasts.