Mgr. Jan Kozák, projektový manažer ve společnosti AXENTA a.s., nám odpověděl, jak s klienty řeší NIS2, resp. ZoKB (Zákon o kybernetické bezpečnosti).
Petr Smolník: V poslední době se hodně zmiňuje směrnice NIS2. Jaké služby nabízíte klientům, kteří za vámi přijdou s tím, že by s tím potřebovali pomoci?
Jan Kozák: Děkuji za dotaz. Obvykle se na nás klienti obrací s tím, že tuší nebo předpokládají, že se jich tato regulace nějakým způsobem dotkne. Většinou vyčkávají na to, až se směrnice EU transformuje do podoby kybernetického zákona a chtějí se předem připravit na to, co je čeká. Říkají, že si nejsou jistí, jestli se jich to bude nebo nebude týkat a abychom jim s tím pomohli a řekli, co si o tom myslíme.
Často začínáme jednoduchou věcí, a tou je identifikace té společnosti – co dělá, v jakém oboru podniká, jestli to je obor, který bude nějakým způsobem regulován novým ZoKB, a z toho vycházíme. Potom u klienta probíhá něco jako „rozhovor“, tedy základní analýza stavu kybernetické bezpečnosti. To není jen o technologiích, ale i o procesech, o tom, jaká má společnost aktiva a jaké poskytuje služby. Snažíme se navrhnout adekvátní opatření, jak se s novými výzvami vyrovnat.
Je důležité vědět, že ZoKB, tak jak bude pravděpodobně nově vydán, není žádná revoluce. Je to evoluce, protože svět technologicky za poslední dobu pokročil, což si EU uvědomuje. Cílem tedy není primárně zavést sadu nových opatření, nakoupit množství produktů direktivně, protože je musím mít, ale dohnat dobu, po kterou se svět vyvíjel a legislativa stála na místě. To samozřejmě znamená, nějak se s tím vyrovnat.
PS: S historickým ZoKB, který tady je, byl vždycky spojován audit kybernetické bezpečnosti. Ten „rozhovor“, předpokládám, ještě není úplně audit? Ten by měl následovat ve chvíli, kdy je vidět, že tam je nějaký nesoulad s tou směrnicí, nebo i s aktuálním ZoKB.
JK: Já tomu právě velmi nerad říkám audit, protože ono je to hodnocení. Já můžu auditovat nějaký konkrétní stav podle konkrétní normy, konkrétního zákona, konkrétní vyhlášky. My dnes víme, že už se toho moc měnit nebude, ale stále to u nás není na konci legislativního procesu. Proto nerad říkám, že někdo dělá analýzu v souladu s NIS2. Zkrátka děláme jakési hodnocení vůči předpokládanému stavu.
Cílem je zákazníkovi ukázat jeho aktuální stav a stav, ke kterému by se měl v nějaké dohledné době posunout. A dohledná doba to není měsíc, dva měsíce, to nemusí být ani rok, je to individuální podle klienta. Někdo je na tom dobře procesně a je na tom hůře technologicky, někdo je na tom dobře technologicky a je na tom třeba hůře personálně, nemá zajištěné zdroje. Pro tu organizaci by to měl být jakýsi akční plán pro management, který potom na základě tohoto plánu může postupně investovat a připravovat se na to, že přijde čas, kdy podstoupí audit. A audit ukáže, zda jste nebo nejste v souladu s novým ZoKB. Podle zjištěných výsledků bude následovat re audit.
Ten, kdo to dělá smysluplně, tak dnes neprohlašuje, vy jste v souladu nebo nejste v souladu, ale říká: „my tady vidíme nějaké rezervy, nějaké nedokonalosti, které by se měly zlepšit a můžete je zlepšit tímto způsobem.“
To ale nejde dělat od stolu, nejde dělat dotazníky. Musíte nejdříve navnímat problematiku té dané společnosti. A ta je u každé společnosti jiná.
Z mého pohledu, je to o osobním kontaktu s lidmi a pochopení jejich byznysu. Není to o tom jim říct, kupte si těchto deset technologií a napište těchto deset směrnic, tady máte šablonu. Musí to souznít s tou společností a jejími možnostmi. Ochrana informací je primárním cílem zákona – chránit informace, chránit know-how společnosti a zajistit kontinuitu byznysu tak, aby v případě závažného kybernetického incidentu, neskončil. Je třeba navnímat, jak společnost funguje a nepřizpůsobovat ji technologiím a procesům, ale přizpůsobit procesy a technologie společnosti.
PS: Děkuji Vám.