Přichází nový Zákon o kybernetické bezpečnosti (nZKB). Podobné regulace mívají oborová a objemová kritéria, takže se obvykle netýkají těch mikropodniků a malých podniků – to ale u směrnice NIS2 neplatí pro poskytovatele veřejně dostupné služby elektronických komunikací. Ačkoliv jsme vyzývali při tvorbě regulace v Unii, aby malé podnikatele vyjmuli, nestalo se tak. Tedy stalo, ale ne pro obor telekomunikací.
V první řadě přicházíme s výzvou. Prosím neodkládejte přípravu opatření podle nZKB do první pokuty. Jde tu především o byrokracii a zavedení soustavy směrnic, která popíše stav a procesy ve vašem podniku. To se nedá udělat narychlo po výzvě k předložení. Čas na přípravu máme celkem dlouhý, od data samoidentifikace prostřednictvím portálu NUKIB máme postupně rok na zavedení všech opatření. Celkově je to rámcově rok na plné zavedení všech opatření, ale není to „rok volna“. Je to rok práce.
Podle velikosti podniku a povahy služeb budete spadat do různě přísných povinností. Velikost podniku se neurčuje pocitově („jsme malí, jsme lokální“), ale podle kritérií EU. Ta kombinují hlavně tři čísla:
Počet zaměstnanců (FTE) – tedy přepočtené úvazky, nejen počet hlav.
Roční obrat (tržby).
Roční bilanční suma aktiv (hodnota majetku v rozvaze).
EU prahové hodnoty jsou:
Mikropodnik
méně než 10 zaměstnanců
a zároveň roční obrat do 2 mil. EUR, nebo bilanční suma aktiv do 2 mil. EUR
Malý podnik
méně než 50 zaměstnanců
a zároveň roční obrat do 10 mil. EUR, nebo bilanční suma aktiv do 10 mil. EUR
Střední podnik
méně než 250 zaměstnanců
a zároveň buď roční obrat do 50 mil. EUR, nebo bilanční suma aktiv do 43 mil. EUR
Velký podnik
cokoli nad těmito limity (tzn. 250+ zaměstnanců, nebo výrazně vyšší obrat / aktiva)
Určení velikosti podniku je klíčové pro rozlišení, zda jste v nižším nebo vyšším režimu regulace. Pokud jste součást skupiny / propojených firem (mateřská, dceřiná, společný vlastník), povinná je konsolidace. Jsou pro to přesnější metodiky, ale zjednodušeně: nehodnotí se jen samotné „s.r.o. v Horní Lhotě“, ale i to, že je napojené na holding, který má dalších 180 lidí a stovky milionů obratu. Tohle je častý moment, kdy regionální ISP přestane být papírově „malý podnik“. Budeme muset vyřešit směrnice pro každého podnikatele zvlášť, ale režim určujeme podle skutečného stavu.
Podle velikosti podniku a povahy služeb budete spadat do různě přísných povinností. Nejde jen o „mám deset lidí vs. mám sto lidí“. Sleduje se také to, jak kritická je vaše infrastruktura – tedy jestli poskytujete službu, jejíž výpadek má dopad do dalších sítí a jejich zákazníků. Zjednodušeně:
Nejmenší regionální ISP s vlastní infrastrukturou – budete muset mít formálně pojmenované role (kdo odpovídá za bezpečnost), základní interní směrnice, proces hlášení incidentů a alespoň minimální řízení rizik.
Střední poskytovatelé s tranzitem pro další operátory nebo páteřní sítí – regulace je nakažlivá, podle provázanosti na režim zákazníků vaší infrastruktury se může přidat povinnost mít řízené změny v síti, řídit dodavatele, dělat pravidelné hodnocení zranitelností, udržovat dokumentované postupy obnovy provozu.
Velcí hráči nebo provozovatelé kritických částí přístupové/páteřní infrastruktury – čekejte i povinnost pravidelného testování, auditovatelnost procesů, krizové řízení, BCM/DRP, a průkazné řízení bezpečnostních rizik na úrovni managementu.
Co z toho plyne prakticky:
Budete se muset sami přihlásit. Každý poskytovatel veřejně dostupné služby elektronických komunikací se má identifikovat vůči státu. Není to krok, který se může ignorovat.
Budete muset mít písemné dokumenty. Nestačí “víme to v hlavě, dělá to Pepa”. Bude potřeba mít minimálně:
řízení rizik (jaká rizika v síti máme a co s nimi děláme),
řízení incidentů (když se něco stane, kdo volá, komu a jak rychle hlásí NÚKIBu),
řízení přístupů (kdo má admin práva a proč je má),
řízení dodavatelů (kdo nám spravuje síť, backupy, dohled atd.).
Budete muset prokazovat soulad. Tohle je novinka oproti „doporučením z minulých let“. Teď už to není „měli byste“, ale „ukažte“.
Zní to hrozivě, ale není to jen o pokutách. Povinnosti v nižším režimu jsou zvládnutelné a většina z Vás spadne do nižšího režimu. Nenechte se ale zmást dodavateli různých řešení, anebo různými webináři v režimu V+V (vystraš a vyfakturuj). Přímo ve vyhlášce pro režim nižších povinností je stanovený minimální rozsah, pro ty nejmenší je leccos neaplikovatelné – to dost ulehčí život.
Co budeme dělat my jako spolek:
Připravíme vzorové dokumenty, které půjdou přizpůsobit malému ISP bez interní právní a bezpečnostní divize jako vodítka pro minimální režim.
Provedeme sadu základních školení, na kterých budete moct prokázat znalosti, tak jak předpokládá zákon.
Vysvětlíme krok za krokem, co po vás budou chtít při kontrole.
Pomůžeme pojmenovat role („kdo je u nás vlastně bezpečnostní manažer“) tak, aby to šlo přežít i ve firmě o pěti lidech. Požádali jsme o spolupráci odborné firmy z členské základny a pracujeme i na vzorových risk analýzách. Spolupracujeme se zkušenými lidmi v oboru kyberbezpečnostní compliance.
A budeme dál tlačit na to, aby stát při kontrolách rozlišoval mezi „ISP s deseti lidmi na vesnici“ a „národní páteřní sítí“.
Shrnutí pro dnešek je jednoduché:
Začněte se chystat teď. Udělejte si seznam toho, co v podniku už existuje (směrnice, provozní postupy, dohody s dodavateli), a hlavně kdo to dělá. Nečekejte, až vám někdo pošle výzvu.
Obracejte se prosím na nás. Provázet vás regulací je jeden z našich nejdůležitějších úkolů.