S rostoucím počtem kybernetických hrozeb čekají správce kritické infrastruktury a poskytovatele klíčových digitálních služeb nové povinnosti podle evropské směrnice NIS2 týkající se kybernetického zabezpečení. Podle průzkumu aliance NIS2READY však s jejich implementací zatím začalo jen 28 procent organizací. Zcela připravená je pouze každá sedmá. Dotázané soukromé společnosti očekávají výdaje v řádech milionů, o využití dotace však zatím uvažuje jen třetina z nich.
Ve druhé polovině roku se očekává přijetí nového zákona o kybernetické bezpečnosti, který do českého právního řádu implementuje evropskou směrnici NIS2. Ta ukládá správcům kritické infrastruktury a poskytovatelům klíčových digitálních služeb povinnost přijmout organizační a technická opatření, jejichž cílem je výrazně posílit kybernetickou bezpečnost klíčových prvků místní infrastruktury. Celkem by se v Česku měla tato opatření dotknout tisíců organizací pohybujících se v soukromém i veřejném sektoru.
Z průzkumu Aliance NIS2READY však vyplývá, že většina českých společností blížící se příchod těchto povinností zásadním způsobem podceňuje. Hned 72 procent z nich zatím s implementací vůbec nezačalo. Mezi organizacemi působícími v soukromém sektoru je na změny připravených pouze 14 procent dotázaných firem.
Aliance NIS2READY sdružuje šest předních společností v oblasti kybernetické bezpečnosti (enovation, KPMG, Alef Nula, Soitron, eLegal a Cisco). Zúčastnilo se ho celkem 100 respondentů z řad CIO a IT security specialistů z českých organizací, které poskytují esenciální nebo klíčové služby podle nového zákona o kybernetické bezpečnosti. Sběr dat probíhal od 1. února do 30. dubna 2024.
„Velká část organizací s implementací změn čeká na finální znění nového zákona o kybernetické bezpečnosti. To se jim však může vymstít. Určitě není na co čekat. Zákon bude přímo vycházet ze směrnice NIS2, jejíž finální podoba je známá už od konce roku 2022. Organizace, které budou dále vyčkávat riskují, že nestihnou včas splnit veškeré požadavky,“ upozorňuje David Kotris z poradenské společnosti enovation.
Proč posilovat kyberbezpečnost? Útoků přibývá
Ochrana před kybernetickými hrozbami se stává stále důležitější. Za loňský rok zaznamenal Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) rekordní počet kybernetických incidentů. Celkem jich evidoval 262. V předešlém roce to přitom bylo jen 146, tedy skoro o polovinu méně. Hned dva z těchto útoků navíc spadaly do té úplně nejvyšší kategorie závažnosti.
Rostoucí počet útoků je navíc všudypřítomný. Trend potvrzuje i česká policie, podle které došlo jen v prvním pololetí loňského roku k 31 323 kybernetickým útokům na klienty bank. Jedná se o meziroční nárůst o 15 procent. Škody se přitom vyšplhaly do řádů stovek milionů korun.
„Česko bylo letos ve světovém indexu NSCI ohodnoceno v rámci kybernetické bezpečnosti 98 body ze 100, což ho řadí vysoko jak v EU, tak na světě. Rozhodně to ale neznamená, že by u nás nebyla kybernetická rizika a že by Česko nemělo co vylepšovat. Například náš průzkum z roku 2022 odhalil, že čtvrtina firem nemá dle svého hodnocení dostatečnou kybernetickou ochranu. Výzkumníci z NSCI na druhou stranu velmi kladně ohodnotili českou legislativu a infrastrukturu pro řešení kybernetického bezpečí, jako je třeba NÚKIB,“ říká analytik portálu Evropa v datech Milan Mařík.
Právě NÚKIB upozorňuje na to, že útočníci začínají využívat nástroje generativní umělé inteligence a chatboty na bázi jazykových modelů, s jejichž pomocí už nyní vytváří texty pro phishingové útoky, nebo dokonce píší samotný škodlivý kód. Dá se tedy očekávat, že spolu s rychlým rozvojem těchto nástrojů bude v kontextu aktuální geopolitické situace počet útoků dále stoupat.
Obrana před hackery bude stát miliony
Implementace bezpečnostních opatření znamená pro firmy výdaje navíc. Ty by podle průzkumu neměly být extrémně drahou položkou v rozpočtu, stále se však budou pohybovat v řádech milionů korun. Osmdesát procent dotázaných firem odhaduje, že jejich výše nepřesáhne hranici 10 milionů korun. Asi polovina firem dokonce uvádí, že si vystačí s méně než dvěma miliony korun. Konkrétní rozpočet si však zatím vyčlenilo jen 40 procent dotázaných společností.
Dobrou zprávou pro organizace, kterých se nové povinnosti dotknou, je, že k jejich financování mohou využít některé dotační tituly. Průzkum však ukázal, že o této možnosti velká část z nich vůbec neví. V problematice dotací jsou podle dat zběhlejší organizace ve veřejném sektoru, kde o využití dotací uvažují hned tři čtvrtiny dotázaných. Mezi soukromými společnostmi to ovšem je pouhých 35 procent, tedy jen o něco více než třetina.
„Soukromé subjekty budou moci k pokrytí těchto nákladů využít třeba dotační výzvu Digitální podnik určenou na investice do informačních technologií, která bude vypsaná v nejbližší době. Tímto způsobem budou moci až 60 procent nákladů spojených s těmito bezpečnostními opatřeními,“ upozorňuje David Kotris.
(nik)