S rostoucím počtem kybernetických hrozeb čekají správce kritické infrastruktury a poskytovatele klíčových digitálních služeb nové povinnosti týkající se kybernetického zabezpečení.

Podle průzkumu aliance NIS2READY však s jejich implementací zatím začalo jen 28 % organizací. Zcela připravená je pouze každá sedmá. Dotázané soukromé společnosti očekávají výdaje v řádech miliónů, o využití dotace však zatím uvažuje jen třetina z nich.

Ve druhé polovině roku se očekává přijetí nového zákona o kybernetické bezpečnosti, který do českého právního řádu implementuje evropskou směrnici NIS2. Ta ukládá správcům kritické infrastruktury a poskytovatelům klíčových digitálních služeb povinnost přijmout organizační a technická opatření, jejichž cílem je výrazně posílit kybernetickou bezpečnost klíčových prvků místní infrastruktury. Celkem by se v Česku měla tato opatření dotknout tisíců organizací pohybujících se v soukromém i veřejném sektoru.

Z průzkumu Aliance NIS2READY však vyplývá, že většina českých společností blížící se příchod těchto povinností zásadním způsobem podceňuje. Hned 72 % z nich zatím s implementací vůbec nezačalo. Mezi organizacemi působícími v soukromém sektoru je na změny připravených pouze 14 % dotázaných firem.
„Velká část organizací s implementací změn čeká na finální znění nového zákona o kybernetické bezpečnosti. To se jim však může vymstít. Určitě není na co čekat. Zákon bude přímo vycházet ze směrnice NIS2, jejíž finální podoba je známá už od konce roku 2022. Organizace, které budou dále vyčkávat, riskují, že nestihnou včas splnit veškeré požadavky,“ upozornil David Kotris z poradenské společnosti enovation.

Ochrana před kybernetickými hrozbami se stává stále důležitější. Za loňský rok zaznamenal Národní úřad pro kybernetickou a informační bezpečnost rekordní počet kybernetických incidentů. Celkem jich evidoval 262. V předešlém roce to přitom bylo jen 146, tedy skoro o polovinu méně. Hned dva z těchto útoků navíc spadaly do té úplně nejvyšší kategorie závažnosti.

Rostoucí počet útoků je navíc všudypřítomný. Trend potvrzuje i Policie ČR, podle které došlo v prvním pololetí loňského roku k 31 323 kybernetickým útokům na klienty bank. Jde o meziroční nárůst o 15 %. Škody se přitom vyšplhaly do řádů stovek miliónů korun.

„Česko bylo letos ve světovém indexu NSCI ohodnoceno v rámci kybernetické bezpečnosti 98 body ze 100, což ho řadí vysoko jak v EU, tak na světě. Rozhodně to ale neznamená, že by u nás nebyla kybernetická rizika a že by Česko nemělo co vylepšovat. Například náš průzkum z roku 2022 odhalil, že čtvrtina firem nemá dle svého hodnocení dostatečnou kybernetickou ochranu. Výzkumníci z NSCI na druhou stranu velmi kladně ohodnotili českou legislativu a infrastrukturu pro řešení kybernetického bezpečí, jako je třeba NÚKIB,“ sdělil analytik portálu Evropa v datech Milan Mařík. Právě NÚKIB upozorňuje na to, že útočníci začínají využívat nástroje generativní umělé inteligence a chatboty na bázi jazykových modelů, s jejichž pomocí už nyní vytvářejí texty pro phishingové útoky, nebo dokonce píšou samotný škodlivý kód. Dá se tedy očekávat, že spolu s rychlým rozvojem těchto nástrojů bude v kontextu aktuální geopolitické situace počet útoků dále stoupat.

Implementace bezpečnostních opatření znamená pro firmy výdaje navíc. Ty by podle průzkumu neměly být extrémně drahou položkou v rozpočtu, stále se však budou pohybovat v řádech miliónů korun. Na 80 % dotázaných firem odhaduje, že jejich výše nepřesáhne hranici deseti miliónů korun. Asi polovina firem dokonce uvádí, že si vystačí s méně než dvěma milióny korun. Konkrétní rozpočet si však zatím vyčlenilo jen 40 % dotázaných společností.

Dobrou zprávou pro organizace, kterých se nové povinnosti dotknou, je, že k jejich financování mohou využít některé dotační tituly. Průzkum však ukázal, že o této možnosti velká část z nich vůbec neví. V problematice dotací jsou podle dat zběhlejší organizace ve veřejném sektoru, kde o využití dotací uvažují hned tři čtvrtiny dotázaných. Mezi soukromými společnostmi to však je pouhých 35 %, tedy jen o něco více než třetina.

„Soukromé subjekty budou moci k pokrytí těchto nákladů využít třeba dotační výzvu Digitální podnik určenou na investice do informačních technologií, která bude vypsaná v nejbližší době. Tímto způsobem budou moci hradit až 60 % nákladů spojených s těmito bezpečnostními opatřeními,“ vysvětlil David Kotris.

(tz)