Bezpečné zacházení s informacemi není jen o osobní zodpovědnosti či nahodilých krocích, jak tomu bývalo dříve. V současné době spočívá v jasně stanovených postupech, kompetencích, kvalitně sestaveném systému a správně nastavených kontrolních mechanizmech. Je to komplex zásad, které v praxi chrání příslušný subjekt od krádeží, poškozování, nevhodném a zločinném zacházení s citlivými údaji.

Každá firma či organizace by měla počítat s tím, že ani jí se někdy zásah nejrůznějších živlů, které pracují na velmi sofistikovaných platformách, nevyhne. Dobře se chránit je proto naléhavou potřebou, a to lokálně i globálně. Co k tomu bude nutné, především v souvislosti se zaváděním směrnice NIS2, sdělil Ing. Antonín Šefčík z České společnosti pro jakost.

Co pro firmy nyní představuje největší výzvu v oblasti kyberbezpečnosti?

Výzvou je ochránit své informace před krádeží nebo modifikací. Kybernetická bezpečnost k tomu nabízí jen vhodné nástroje. Kombinace technických řešení spolu se zavedením systému řízení bezpečnosti je vhodná volba. Největší výzvou je pak současné naplnění požadavků legislativy v daném čase. Zde pak záleží na tom, zda má organizace zavedená nějaká opatření a zda již bezpečnost řídí. Pro ostatní organizace půjde opravdu o závažnou výzvu.

V platnost vstupuje nová směrnice Evropské unie NIS2. Proč vznikla? Jde o reakci na stále sofistikovanější hrozby v oblasti IT?

Dá se to tak říci, i když jde jen o jeden z faktorů. V době phishingových útoků, které ne vždy jsou konkrétně cílené, již nikdo nemůže říci, že nemá žádné důležité informace, kvůli kterým by na něj někdo útočil. Mimo to však jde o pokus sjednotit způsob ochrany informací na úrovni Evropy a sjednocení odvětví, která si ochranu zasluhují. Výsledkem může být rychlejší a cílená rekce na incidenty napříč členskými státy EU.

Jakým způsobem posouvá směrnice NIS2 nároky na bezpečnost informačních systémů v komerčním sektoru?

Směrnice NIS2 počítá s podstatným rozšířením odvětví, ve kterých jsou uplatňovány požadavky na zajištění ochrany informací. Celkem jde o 18 odvětví, ve kterých se nově objevuje mimo jiné potravinářství, chemický průmysl, vesmírný průmysl a výroba s důrazem na elektro a automotive. V těchto oborech pak působí zejména komerční podniky. V případě, že firmy naplní mimo odvětvových kritérií i požadavky na velikost/obrat, mohou se na ně vztahovat příslušné požadavky. Je potřeba poznamenat, že směrnice NIS2 počítá se dvěma úrovněmi zajištění ochrany informací, ve kterých se požadavky značně liší. Celkově se předpokládá, že požadavky dopadnou ze stávajících stovek na tisíce organizací. Většinu z nich budou tvořit právě komerční subjekty.

Dotkne se také veřejné sféry?

Ano, i zde dojde k rozšíření organizací spadajících pod regulaci. Mimo jiné se požadavky kybernetické bezpečnosti budou vztahovat na celou řadu obcí, které byly doposud z regulace vyjmuty. Regulace pak zahrne i vědecké instituce.

V čem se směrnice nejvíce liší od NIS1?

Základní odlišnost je kromě většího rozsahu odvětví i ve skutečnosti, že se již nevybírají jen informační systémy důležité pro stát, ale definují se celé služby důležité pro jeho činnost. Předmětem ochrany je pak zajištění fungování těchto služeb. Co se týká samotných opatření, dochází zejména k upřesnění a rozvoji těch již navržených.

Důležitým tématem je umělá inteligence. Má vliv na vznik nových bezpečnostních rizik v této oblasti?

Použití umělé inteligence ovlivňuje všechna odvětví a kybernetická bezpečnost není výjimkou. Umělou inteligenci můžeme použít při zajištění ochrany informací, ale přináší i nové hrozby. Mimo rozšíření možností útoků jde také o hrozby spojené se zneužitím AI. V současné době je velmi rozšířené použití veřejně přístupných nástrojů umělé inteligence, která využívá sdělené informace k vlastnímu učení. Hrozí zde pak riziko vyzrazení důvěrných informací při tvorbě různých firemních zpráv a zápisů. Zde je na místě regulace, co a k čemu používat. Mimo požadavků kybernetické bezpečnosti nabízí postupy i AI Act.

Dotkne se NIS2 některých IT systémů více než jiných?

Jak již bylo řečeno, jde zejména o IT systémy využívané ke zpracování informací v některém z 18 uvedených odvětví v organizacích, které naplní příslušná kritéria. Nově se kritéria kybernetické bezpečnosti dotknou rovněž informačních systémů veřejné správy, ale i IS využívaných v odpadovém hospodářství a většiny poskytovaných IT služeb. Rozsah je opravdu široký.

Na co se v souvislosti se zaváděním požadavků NIS2 musí podniky připravit?

Záleží na úrovni kybernetické bezpečnosti, kterou je organizace povinna zavést, a na tom, zda již řešila kybernetickou nebo informační bezpečnost. V případě, že jde o organizaci, která patří mezi stovky jiných, které již kybernetickou bezpečnost řešily, jde o aktualizaci provozovaného systému. V případě, že organizace provozovala na dobré úrovni některý ze systémů řízení bezpečnosti informací (ISO/IEC 27001 nebo TISAX), jde o upřesnění tohoto systému. V případě zavádění režimu nižších povinností je toto ve vymezeném roce zvládnutelné. Nejsložitější situaci budou mít organizace, které budou zavádět požadavky dle režimu vyšších povinností z jedné vody načisto, jak se říká. Zde budou nároky vysoké. Neměli bychom však zapomínat, že většina zaváděných opatření není samoúčelná a zvyšuje obecně zajištění ochrany informací organizace.

Bude příprava nákladná? Dokázal byste zhruba odhadnout, kolik prostředků bude stát středně velkou výrobní firmu například z oblasti automotive?

To je složité. Záleží na všech faktorech, o kterých jsem již mluvil, a na technické připravenosti organizace. Vezmu-li dodavatele v automotive, který již má zaveden systém TISAX, nemusí být náklady vysoké. Tento dodavatel bude zpravidla zařazen do režimu nižších povinností, takže z hlediska systému řízení bezpečnosti informací dojde k jeho zpřesnění, například to bude upřesnění délky hesel, zavedení konkrétnějších povinností vrcholového vedení, zavedení vícefaktorového přihlašování, zavedení postupu pro hlášení významných kybernetických bezpečnostních incidentů na NÚKIB atd. Ani v případě automobilky, která bude nejspíše v režimu vyšších povinností, by toto nemělo být příliš složité, má-li automobilka zavedeno funkční ISO/IEC 27001. Opravdu záleží na nárocích, na tom, zda již společnost provozuje ISMS, a na používaných IT prostředcích. Opět platí, že zavádím-li režim vyšších povinností bez předchozí přípravy a nemám-li dobré technické vybavení, mohou se náklady pohybovat ve statisících až miliónech. Ale investice přinese i zlepšení zabezpečení informací jako takových. To bychom měli mít neustále na zřeteli.

Jak může komerčním subjektům pomoci s adaptací na NIS2 Česká společnost pro jakost?

Především jde o vzdělávání a přípravu organizací. V ČSJ již probíhá ve čtvrtletní periodicitě kurz Manažer systému bezpečnosti informací, který je vhodný i pro přípravu manažerů kybernetické bezpečnosti. Mimo tohoto kurzu je připraven seminář k NIS2, který se uskuteční 26. května. V návaznosti na schválení nového zákona ke kybernetické bezpečnosti se pak chystají další akce.

otázky připravila Kateřina Šimková

Strana vychází pod partnerskou záštitou České společnosti pro jakost