Většina respondentů zatím není na přísnější požadavky kybernetické bezpečnosti připravena a s potřebnými kroky nezačala. Privátní sektor je na tom o něco lépe než veřejný. Vyplývá to z průzkumu připravenosti českých firem na směrnici NIS2, který provedla aliance NIS2READY.
Výsledky průzkumu ukazují, že české organizace jsou na novou legislativu v oblasti kybernetické bezpečnosti připraveny jen částečně. Zatímco v privátním sektoru se za připravené považuje zhruba čtrnáct procent dotázaných (dle jednotlivých odvětví), ve veřejné správě není nikdo, kdo by si byl svou úrovní zabezpečení jistý. To souvisí mimo jiné s tím, jaké mají organizace dodavatele IT: ti, kteří spolupracují s certifikovanými partnery, jsou v průměru pro splnění požadavků NIS2 a nZKB lépe vybaveni.
„Z výsledků průzkumu vidíme, že velká část společností čeká na jasnou legislativu nZKB. Z mého pohledu je tento přístup krátkozraký. Řádné zabezpečení IT infrastruktury by nemělo vycházet pouze z požadavků směrnice NIS2 nebo nZKB, ale mělo by být samozřejmostí. Firmy, které zabezpečení nebudou řešit včas, mohou brzy narazit. Na trhu je nedostatek kvalifikovaných odborníků na oblast kybernetické bezpečnosti, a i lídři v oboru tak mají kapacitu pouze na 10 až 15 nových klientů ročně. Směrnice NIS2 dopadne na nejméně 6 000 českých společností a je tak na místě si svého experta na bezpečnost najít co nejdříve,“ říká IT security expert ze společnosti Alef Nula, Michal Zedníček.
NÚKIB specialistům poskytuje větší podporu než management
Průzkum také ukázal, že IT experti odpovědní za nZKB a NIS2 opatření cítí více podpory od NÚKIB než od svého managementu. NÚKIB společnosti podporuje stejně bez ohledu na jejich velikostí, ale liší se podle režimu, pod který společnosti spadají. Společnosti, které svůj režim neznají, mají podpory nejméně. To může souviset s nedostatkem zájmu o téma. Společnosti, které svůj režim znají, hodnotí podporu ze strany NÚKIB jako silnou nebo dostatečnou.
Většině dotázaných společností bude na přípravu na NIS2 stačit méně než 10 milionů korun
Průzkum se dále zaměřil na rozpočet společností pro implementaci směrnice NIS2. Zjistilo se, že pouze 40 % dotázaných společností svůj rozpočet zná. Nejlépe připravené jsou firmy v nižším režimu. Rozpočet stanovila nebo schválila více než polovina (58,6 %) z nich. Většina (80 %) dotázaných společností bude na přípravu na NIS2 potřebovat méně než 10 miliónů korun. Tento údaj potvrzuje, že NIS2 (a potažmo kybernetická bezpečnost) není v rozpočtu extrémně drahou položkou.
„Kybernetická bezpečnost je klíčovým obchodním rozhodnutím pro každou firmu, a to z několika důvodů. Když dojde k útoku na IT infrastrukturu, může to způsobit výpadky výroby, ztrátu dat nebo dokonce odcizení citlivých informací. Tyto incidenty mohou mít dlouhodobý dopad na provozuschopnost firmy, její pověst a ztrátu důvěry zákazníků. Investice do bezpečnostních opatření mohou riziko těchto nepříjemných situací minimalizovat,“ říká ředitel společnosti KPMG pro oblast kyberbezpečnosti, Tomáš Kudělka.
„Nehledě na povinnost, kterou směrnice NIS2 přináší, je ochrana před kyberútoky z pohledu bezpečnosti společností klíčová a rozhodně by se neměla podceňovat. A je jedno, zda do ní organizace spadá či nikoliv. Každá firma by si totiž měla projít analýzou aktiv a potenciálních rizik, aby věděla, jakým způsobem má vytvořit bezpečnostní strategii a plán zvládání rizik. Tím zjistí, do čeho má v případě zabezpečení prioritně investovat. Důležité je také dál prioritizovat implementaci opatření mitigujících vysokou míru rizika ideálně s nižším TCO (tzn. celkovými náklady na vlastnictví), což pomáhá rychle zvyšovat kybernetickou odolnost a zároveň snáze obhájit potřebný rozpočet,“ doplňuje Petr Kocmich, bezpečnostní analytik společnosti SOITRON.
Část nákladů na zvýšení zabezpečení mohou pokrýt evropské dotace. Firmy to často nevědí
Pouze 41 % dotázaných firem plánuje využít možnost financování z Evropské unie. Zatímco ve veřejné správě uvažuje o dotacích většina respondentů (75 %), v privátním sektoru je to pouhá třetina (35 %). Průzkum ukázal, že většina respondentů o možnosti čerpání dotací z EU nevěděla.
„Firmy by měly vědět, že existuje možnost žádat o finanční podporu. Tato podpora není omezena pouze na veřejné subjekty, ale vztahuje se také na komerční společnosti. Je důležité sledovat aktuální nabídky dotačních programů, protože jich stále přibývá. Správná strategie a včasná žádost o dotaci mohou firmám pomoci lépe se připravit na nové výzvy, které směrnice NIS2 přináší.“ říká obchodní ředitel poradenské společnosti enovation, Martin Bednář.
O průzkumu
Průzkum se zaměřil na CIO a IT security specialisty ze 100 českých firem, které podle nového zákona o kybernetické bezpečnosti (nZKB) poskytují klíčové služby. Cílem bylo zjistit, jak jsou tyto organizace připraveny na splnění přísnějších standardů pro zabezpečení informačních systémů, procesů a řízení rozpočtů a zda znají možnosti podpory, kterou mohou čerpat. Průzkum probíhal od února do dubna 2024.