Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2

V době rostoucích kybernetických hrozeb je potřeba být neustále ve střehu a o krok napřed před kybernetickými útočníky. To je i cílem evropské směrnice NIS2, která se dotýká více než 6000 českých firem a organizací. S přípravou na ni, respektive na nový zákon o kybernetické bezpečnosti pomáháme také my v O₂ – ať už v rámci našich odborných seminářů, nebo individuálních konzultací.

Jak určit, jak na mne NIS2 dopadá? Jak řešit bezpečnost svého dodavatelského řetězce? Jaká bezpečnostní opatření máme vůbec zavádět? To jsou časté otázky, které si kladou firmy a instituce v rámci NIS2. Bohužel není vždy snadné na ně najít v 74 paragrafech návrhu nového kybernetického zákona a v navazujících vyhláškách jednoznačné odpovědi.

I to byl důvod, proč jsme se na podzim loňského roku rozhodli začít pořádat webináře a praktické semináře k NIS2. Jako jeden z největších poskytovatelů ICT řešení v Česku tak NIS2 nejen sami řešíme, ale předáváme zkušenosti také ostatním. Od té doby prošly našimi semináři stovky účastníků z řad firem a organizací a naši experti na kybernetickou bezpečnost řešili nespočet individuálních konzultací.

A co jsme zjistili? Vnímáme velký zájem firem a institucí o NIS2 a snahu co nejlépe připravit svou organizaci na nová pravidla v oblasti kyberbezpečnosti. Jak ale všichni víme, není to jen o splnění podmínek legislativy – ve finále jde hlavně o zajištění vlastní bezpečnosti v digitálním prostoru tak, aby byla zachována kontinuita byznysu.

4 otázky pro Radka Šichtance, ředitele bezpečnosti O₂

1. Co byste vy doporučil rozhodně nepodcenit při přípravě na splnění požadavků nové legislativy?

V první řadě provést sebeidentifikaci – ujasnit si, zda jsem poskytovatelem regulované služby, a pokud ano, v jakém režimu povinností (buď vyšších, nebo nižších) budu zavádět bezpečnostní opatření.

S tím souvisí také tzv. stanovení rozsahu – tedy jaká (primární) aktiva souvisejí s regulovanou službou a jaká (podpůrná) aktiva mi umožňují poskytování této regulované služby. A to je pak rozsah, který zajímá zákon o kybernetické bezpečnosti. 

No a pak je dobré udělat si rozdílovou analýzu, tzv. GAP analýzu, tedy toho, co z pohledu zákona ještě nesplňuji a kde tudíž začít se zaváděním bezpečnostních opatření.

2. Kde podle vás firmy nejčastěji chybují?

Většinou nemají stanovený rozsah řízení kybernetické bezpečnosti – to pak znamená, že požadavky zákona o kybernetické bezpečnosti budou aplikované na celou firmu a její prostředí.

Zároveň firmy nemají správně identifikovaná a evidovaná svá aktiva, a tím pádem nemají ani funkční proces řízení rizik. Často nejsou definovány procesy řízení incidentů a změn nebo chybí plány kontinuity podnikání a plány obnovy.

3. Pokud někdo zatím s přípravou na NIS2 nezačal: je možné to nyní ještě stihnout, nebo už je pozdě?

Ukazuje se, že se zřejmě nestihne původní transpoziční lhůta a zákon začne platit o něco později. Nicméně určitě bych doporučil příliš neotálet a začít.

U subjektů v režimu nižších povinností navíc nejde o nijak rozsáhlá nebo složitá opatření, která budou muset zavést, takže tam si myslím, že to stihnout lze.

U subjektů v režimu vyšších povinností, zejména pokud doposud kybernetickou bezpečnost příliš neřešily, to bude horší, tam bych se obával.

4. Kam směřují nejčastější dotazy účastníků O₂ seminářů o NIS2?

Nejčastěji se logicky ptají, zda a jak na ně nová regulace dopadne. Tedy zda budou povinnou osobou z pohledu zákona a jaká (nová) bezpečnostní opatření budou muset zavádět. Často diskutujeme konkrétní příklady a situace související s jejich byznysem nebo IT prostředím. S tím vším jim dokážeme pomoci.

Jak vám můžeme s NIS2 pomoci?

• Vstupní konzultace - na úvod s vámi projdeme vaše bezpečnostní potřeby v souladu s tím, co nařizuje NIS2.
• Analýza bezpečnosti - vypracujeme podrobnou analýzu stávajících bezpečnostních organizačních opatření a identifikujeme slabá místa.
• Návrh řešení - navrhneme ucelené bezpečnostní řešení vyžadující minimum času na nasazení, správu a provoz.
• Implementace a outsourcing - nabídneme kompletní implementaci navrženého řešení a možnost outsourcingu bezpečnostních služeb.

Potřebujete se zorientovat v problematice NIS2 nebo se individuálně poradit s našimi experty? Zúčastněte se našeho semináře. V Kalendáři akcí na O₂ CyberNews najdete aktuálně vypsané termíny.

Nebo se na nás přímo obraťte pro komplexní poradenství a podporu v oblasti kybernetické bezpečnosti a přípravy na NIS2. Ať již jde o porozumění nové legislativě, zjištění aktuálního stavu vašeho zabezpečení proti kyberbezpečnostním rizikům, nebo implementaci organizačních a technických opatření, náš tým expertů je připraven vám pomoci.

Chci se poradit

Petra Javornická
Marketingový specialista pro B2B