Pouze 2 % českých firem dosahuje úrovně kybernetické bezpečnosti definované aktualizovanou směrnicí o síťové a informační bezpečnosti (NIS2). Vyplývá to z průzkumu společnosti EY ČR, která jej provedla mezi desítkami tuzemských společností z 22 různých odvětví. Lhůta pro transpozici směrnice do české legislativy končí už letos v říjnu, a platnost povinností pro stanovený okruh organizací se tak dá předpokládat nejpozději do konce roku 2025. Určující bude novela Zákona o kybernetické bezpečnosti. Tu předložil vládě koncem letošního ledna Národní úřad pro kybernetickou a informační bezpečnost, tedy ve stejné době, kdy EY uzavřela dotazování k uvedenému průzkumu, který se zaměřil na připravenost firem na NIS2.
Více jak polovina respondentů (52 %) průzkumu uvedla, že největší výzvy spatřuje v nedostatečných personálních kapacitách a ve výši nákladů spojených s implementací požadavků směrnice NIS2. Více než čtvrtina dotazovaných firem nemá o NIS2 dostatečné povědomí, i když se jich bude týkat.
„Podle našich odhadů se jedná o více než tisíc firem, které se na regulaci nepřipravují,“ upozornil Jan Pich, Cyber Security Manager ve společnosti EY Česká republika, a dodal: „Zhruba polovina z respondentů, kteří odpověděli, že nemají dostatečné povědomí, zastává vrcholné řídící pozice nebo jsou členy představenstva. Podle NIS2 přitom právě vedení společnosti nese přímou odpovědnost za její zavedení.“
Průzkum také potvrdil, že společnosti, které jsou již regulovány jinými normami kybernetické bezpečnosti, přistupují k NIS2 systematicky a pragmaticky. Mají zkušenosti s implementací bezpečnostních opatření a vědí, jak je potřeba postupovat. Zatímco nově regulované společnosti očekávají navýšení nákladů na kybernetickou bezpečnost až o 40 %, již regulované subjekty počítají s průměrným navýšením nákladů o 15 %.