Zákon by měl nabýt účinnosti v polovině letošního roku. Řada společností už proto provádí nezbytné analýzy a plánuje realizaci potřebných změn. NIS2 totiž klade na firmy zvýšené nároky především v technických a organizačních oblastech jejich každodenního fungování.

Většina firem novinku neřeší, nebo o ni nevědí

Je ovšem stále mnoho firem, které novou směrnici zajišťující vyšší bezpečnost sítí a informačních systémů nijak neřeší. Důvodem je i to, že o ní vůbec nevědí. Jak ukázal nedávný průzkum poradenské skupiny Moore Czech Republic mezi více než dvěma stovkami soukromých podnikatelů, vrcholových manažerů a zaměstnanců na vyšších vedoucích pozicích napříč obory, 72 % respondentů o NIS2 doposud neslyšelo.

Proaktivní postoj ve vztahu ke směrnici NIS2 je patrný u větších firem a dotčených odvětví kritické infrastruktury. Jejich zástupci si uvědomují, že správná interpretace a implementace legislativních požadavků se neobejde bez komplexního přístupu.

NIS2 jako velká neznámá. Povědomí o směrnici pro kyberbezpečnost má jen málokdo

Celý proces přitom trvá 6 až 18 měsíců, v závislosti na velikosti organizace, její připravenosti a složitosti IT struktury. Klíčovými faktory, které mohou proces zpomalit, jsou pak nedostatečné zdroje nebo nejasná vize projektového řízení.

Vše začíná analýzou kyberbezpečnosti

„Vše začíná úvodní analýzou stavu kybernetické bezpečnosti v dané firmě. Zjištěnou situaci následně porovnáváme s požadavky směrnice NIS2 – najdeme a pojmenujeme případné rozdíly a navrhujeme nutné úpravy. Ať už technického, organizačního nebo procesního rázu. Samotná implementace pak zahrnuje zavádění technologií, školení zaměstnanců i aktualizace interních směrnic. Na závěr samozřejmě testujeme, zda přijatá opatření skutečně fungují a zda jsou v naprostém souladu s NIS2,“ vysvětluje Radek Dvořáček, Manager Moore Technology CZ.

Ačkoliv řada společností již aktivně připravuje strategie a opatření, která vyplývají ze směrnice NIS2 (zejména firmy a organizace v kritické infrastruktuře), ucelený plán implementace má podle výše uvedeného průzkumu jen čtvrtina organizací. Naopak 29 % z nich žádný harmonogram nemá. Firmám v tom kromě jiného brání nedostatek odborných znalostí a složitost legislativního rámce NIS2.

Evropská směrnice dopadne na podniky už v roce 2025. České firmy musejí přidat

„Nejtěžší bývá sladění technických řešení s organizačními záležitostmi. Je tedy na místě přizvat zkušeného partnera, který s tím pomůže. Přenastaví interní procesy na míru. Postará se o výběr a nasazení vhodných technologií pro detekci hrozeb a reakci na ně. Proškolí personál. Nedílnou součástí boje proti kybernetickým útokům je také povinnost firem reportovat o incidentech úřadům a zákazníkům tak, jak směrnice určuje. I na to je dobré pamatovat,“ říká Radek Dvořáček.

Skupina Moore Czech Republic patří k vyhledávaným subjektům pro aplikaci směrnice NIS2 ve firmách i státních institucích. Příkladem může být spolupráce s renomovanou strojírenskou firmou, ve které specialisté identifikovali klíčové mezery v kybernetické bezpečnosti, zavedli centralizovaný systém monitoringu a incident managementu, upravili interní směrnice a proškolili personál.

„Nejen že jsme těmito kroky dosáhli souladu s NIS2, zároveň jsme také výrazně eliminovali možná rizika. Klient ocenil i jasné nastavení zodpovědnosti v jednotlivých odděleních společnosti,“ popisuje Radek Dvořáček.

Důležitou prevencí pro celé odvětví je sdílení informací o kybernetických incidentech. Současně by firmy měly poskytnout maximální podporu specializovaným týmům.

Radek Dvořáček, Manager Moore Technology CZ

Průzkum ukázal pozitivní hodnocení NIS2

Firmy, které mají implementaci NIS2 zatím ještě před sebou, by se měly primárně zaměřit na počáteční analýzu rizika. Ta je totiž klíčová pro určení priorit. Současně je potřeba provést audit aktuálního stavu a zmapovat si současné schopnosti i nedostatky. V neposlední řadě je pak nutné formulovat interní směrnice a určit odpovědné osoby. Tyto kroky výrazně zefektivní celkovou implementaci.

Podle průzkumu Moore Czech Republic ti, kdo už o směrnici vědí, hodnotí její cíle relativně pozitivně. A to jak v rovině posílení důvěry u zákazníků a obchodních partnerů, tak při zlepšování kybernetické bezpečnosti ve firmě. Směrnice má potenciál adekvátně reagovat na neoddiskutovatelnou, zvyšující se sofistikovanost kybernetických útoků.

„Důležitým preventivním aspektem pro celé odvětví je sdílení informací o kybernetických incidentech. Současně by firmy měly poskytnout maximální podporu specializovaným týmům. NIS2 vytváří pro tyto aktivity stěžejní rámec,“ doplňuje Dvořáček.

Redakčně upravená tisková zpráva Moore CR