Pomalu ale jistě se nám začíná skloňovat nová zkratka NIS2. Bude to nové GDPR? Málo kdo si uvědomuje propojenost některých zákonů a jak GDPR je ovlivněno především kybernetickou ochranou. I po mnoha letech je mnohde GDPR „vyřešeno“ právníkem a jeho nadbytečnými souhlasy. Že má organizace naprosto nevyhovující firewall a další elektronická a telekomunikační zařízení neřeší nikdo.

GDPR nám sice výslovně neříká, že máme mít analýzu rizik, ale například z článků 5, 24 a 32, kde nám GDPR nařizuje, že máme být schopni doložit přijatá opatření, nám nepřímo naznačuje, že si máme analýzu rizik zpracovat. NIS2 tuto povinnost výslovně nařizuje.

Analýzu rizik nestačí jen zpracovat. Je třeba si nastavit pravidelnou cykliku – schválně, kdo po roce 2018 provedl revizi analýzy. Ale je také třeba se tím, co nám řekla, řídit. Směrnice NIS2 rozšíří organizace povinné se řídit Zákonem o kybernetické bezpečnosti na tisíce, některé odhady mluví o 6000 organizacích. Povinnost auditovat i své dodavatele takovou povinnost ještě více rozšíří, tedy dotčeno bude organizací daleko více.

Pracujeme dnes v jiném, virtuálním světě. V tom reálném víme, že musíme stavět ploty, zamykat dveře před neoprávněnými osobami, ale v tom virtuálním na to zapomínáme. A to je vlastně účelem nové směrnice – nauč se a dodržuj nějaké zásady bezpečnosti. Naštěstí od GDPR už se nám zde nevyrojí tisíce „certifikovaných“ poradců. Opravdu erudovaných lidí je v Česku kolem stovky. Kdo se začne o opatření starat nyní, ušetří. Kdo nechá věci na poslední chvíli, jak je u nás zvykem, zaplatí za splnění požadavků násobky toho, co letos.

Petr Gondek

Audit NIS2