Zatímco loni 80 % zaměstnanců v IT netušilo, zda se jich NIS 2 týká nebo co to vůbec je, letos tak v průzkumu agentury Ipsos pro společnost APPSEC odpovědělo 75 % respondentů.
Necelý půlrok před zavedením evropské bezpečnostní směrnice NIS 2 do praxe stále tři čtvrtiny manažerů IT oddělení tuzemských firem netuší, zda se tato směrnice bude týkat zrovna jejich společnosti, nebo dokonce neví, co to NIS 2 je. Vyplývá to z průzkumu agentury Ipsos pro společnost APPSEC, kterého se ve dnech 19. až 22. února 2024 zúčastnilo 1050 respondentů z IT oddělení českých firem s rozhodujícími pravomocemi nebo poradním hlasem.
Pouze 7 % manažerů si je jisto, že spadají pod NIS 2
Oproti loňskému roku, kdy společnost APPSEC zabývající se penetračními testy a zabezpečením firemních systémů, realizovala první vlnu tohoto průzkumu, se znalost problematiky NIS 2 mezi českými IT manažery mírně zlepšila. Zatímco letos odpovídalo, že NIS 2 neznají nebo netuší, zda se dotkne jejich firmy, 75 % respondentů, loni to bylo 80 %. „Stále jde o velmi vysoká čísla, což je alarmující zejména proto, že NIS 2 implementovaná do nového zákona o kybernetické bezpečnosti by měla v České republice platit nejpozději od 18. října letošního roku,“ konstatuje Adam Paclt, generální ředitel společnosti APPSEC.
Evropská směrnice míří na organizace a firmy, které poskytují služby důležité pro fungování společnosti a zároveň mají nejméně 50 zaměstnanců nebo dosahují ročního obratu alespoň 10 milionů euro (přibližně 240 milionů korun). NIS 2 ale klade vyšší nároky na zabezpečení interních systémů také na celý dodavatelský řetězec organizací, jichž se směrnice týká, takže dopad bude mít i na řadu menších firem. Právě u menších a středních podniků ale znalost NIS 2 a faktu, zda se jich nová pravidla pro kyberbezpečnost budou týkat, pokulhává nejvíce. Ze všech oslovených IT manažerů firem různých velikostí s jistotou odpovědělo, že se jich NIS 2 bude týkat, pouze 7 % respondentů. Nejčastěji šlo o IT manažery z Karlovarského kraje (15,6 %) a z kraje Vysočina (10,3 %).
Zabezpečení firemních systémů dokáží prověřit penetrační testy
Naopak 8,8 % dotazovaných si je jisto, že se jejich společnosti směrnice NIS 2 nedotkne, nejvíce pak ve Zlínském kraji (14 %), v Praze (11,3 %) a Ústeckém kraji (11 %). Takřka 9 % respondentů uvedla, že se jejich společnosti dotkla již evropská bezpečnostní směrnice NIS 1, která v České republice platí od roku 2018. „Překvapivé je, že skoro 12 % dotazovaných stále neví, co to NIS 2 je. Pokud by se průzkum nezaměřoval na IT manažery s rozhodujícími pravomocemi, bylo by to pochopitelné, ale takto se zdá, že poměrně velké množství firem v otázce nové bezpečnostní legislativy tápe,“ konstatuje Adam Paclt. Celá čtvrtina dotazovaných (25,1 %) si dopadem NIS 2 na jejich firmu není jista, přičemž v Libereckém kraji to je dokonce téměř 30 % respondentů.
Firmy a organizace, jež budou spadat pod evropskou bezpečnostní směrnici NIS 2, musí vylepšit odolnost svých systémů proti kybernetickým útokům a únikům interních dat. Nejlepší prověrkou odolnosti firemní sítě a zařízení jsou penetrační testy, které za plného chodu společnosti prověřují slabé stránky sítí a bezpečnostní slabiny. „Na základě těchto testů se pak organizace může při řešení svého zabezpečení úzce zaměřit na konkrétní problémy a zbytečně neutrácet za robustní bezpečnostní řešení, které je příliš komplexní,“ vysvětluje Adam Paclt. Společnost APPSEC poskytuje unikátní penetrační testy pomocí algoritmů, které dokáží zmapovat veškeré bezpečnostní díry a navrhuje klientům řešení, jak se s nimi vypořádat.