Nový zákon o kybernetické bezpečnosti začne platit už 18. 10. 2024 a dotkne se až šesti tisíc firem v ČR. Ty budou mít následně pouze rok na to, aby stihly rozsáhlé požadavky zavést. Přitom sankce, které za nedodržení nových pravidel hrozí mohou být pro Vaši firmu likvidační.
Největší výzvou pro firmy bude sehnat právě odborníky pro oblast kyberbezpečnosti. Masivní nedostatek těchto odborníků je totiž už dnes velkým problémem, který trápí nejen Českou republiku, ale celou Evropu. Podle odhadů chybí v Evropě zhruba půl milionu odborníků na kyberbezpečnost, což z hledání odpovědných osob dělá téměř nemožný úkol. Je dost možné, že některé firmy budou muset dokonce některé úkony související s kyberbezpečností outsourcovat.
Jak zákon dopadne na vnitřní organizaci firmy?
Firmy, které dodávají regulované služby podle vyhlášky NÚKIB, se podle rozsahu regulace dělí na dvě skupiny – společnosti s nižší regulací a společnosti s vyšší regulací.
Zatímco firmám s nižší regulací by údajně mělo stačit jmenovat jednu osobu, která bude za řízení a rozvoj kybernetické bezpečnosti zodpovídat, firmy s vyšší regulací budou muset vytvořit celý výbor pro řízení kybernetické bezpečnosti. Výbor se musí skládat alespoň ze tří členů – dvou zástupců top managementu a manažera kybernetické bezpečnosti. Následně je potřeba obsadit čtyři nové bezpečnostní role:
- Manažer kybernetické bezpečnosti
- Architekt kybernetické bezpečnosti
- Garant aktiva
- Auditor kybernetické bezpečnosti
Problémem je také to, že všechny tyto osoby musí mít alespoň tři roky praxe a jejich funkce není slučitelná s výkonem role zodpovědné za komunikační a informační systémy či jiných bezpečnostních rolí.
Jako zaměstnavatel budete také zodpovídat za řádné a pravidelné proškolování všech odpovědných osob. Firmy budou nuceny dělat pravidelné analýzy a dohlížet na bezpečnost ve svých dodavatelských řetězcích. Významně se tím navýší množství administrativy ve vaší firmě. Jakýkoliv incident, který by mohl být považován za narušení kyberbezpečnosti, musí být navíc okamžitě nahlášen NÚKIB, je tedy potřeba najít člověka, který bude systémy neustále sledovat.
Nově navíc všechny osoby, které jsou součástí top managementu vaší firmy, ponesou přímou odpovědnost za dodržování požadavků nového kybernetického zákona. Pokud tedy dojde k závažnému porušení, hrozí jim až pozastavení výkonu činnosti.