Medici

Analytica

Cyber Forza

NIS2 v praxi: kde české firmy nejčastěji dělají chybu

Směrnice NIS2 rozšířila okruh firem, které musí prokazatelně řídit kybernetickou bezpečnost. Shrnujeme nejčastější chyby, na které narážíme při přípravě firem na audit.

NIS2compliancekybernetická bezpečnost

Směrnice NIS2 se v posledních měsících stala tématem číslo jedna pro řadu středních a menších firem, které dřív kybernetickou bezpečnost řešily jen okrajově. Rozsah povinností je širší, než si většina firem myslí — a stejně tak jsou širší i důsledky, pokud se příprava podcení.

Při gap analýzách u klientů se opakovaně vracíme ke stejné hrstce chyb. Tady jsou ty nejčastější.

1. Firma neví, jestli se jí NIS2 vůbec týká

Nejčastější chyba nepřichází až u dokumentace, ale hned na začátku — firma si vůbec neověří, zda a v jakém režimu na ni směrnice dopadá. Výsledkem bývají dva opačné extrémy: buď zbytečná panika a předimenzovaná opatření, nebo naopak podcenění a žádná příprava. Oboje stojí zbytečné peníze a čas.

Řešení je jednoduché: krátká analýza rozsahu povinností na začátku ušetří měsíce práce navíc.

2. Bezpečnost se řeší jako jednorázový projekt

NIS2 compliance často začíná dobře — proběhne audit, sepíší se politiky, nastaví se procesy. Problém je, že se tím většina firem považuje za „hotovou". Ve skutečnosti je řízení kybernetické bezpečnosti průběžný proces: noví zaměstnanci, nové systémy a měnící se hrozby vyžadují, aby dokumentace a opatření zůstávaly aktuální.

Firmy, které to zvládají nejlépe, mají nastavený jednoduchý rytmus revizí — ne komplikovaný bezpečnostní aparát, ale pravidelnou kontrolu, že věci pořád platí.

3. Dokumentace neodpovídá realitě provozu

Druhý nejčastější problém: bezpečnostní směrnice sepsaná podle šablony, která se ale netýká toho, jak firma skutečně pracuje. Při reálném incidentu nebo auditu se pak ukáže, že dokument existuje, ale nikdo se jím neřídí.

Funkční dokumentace vychází z toho, jak firma skutečně řídí přístupy, zálohy a incidenty — ne z obecného vzoru staženého z internetu.

4. Chybí jasná odpovědnost za incidenty

NIS2 klade důraz na schopnost incident rozpoznat, nahlásit a řešit v definovaných lhůtách. Bez jasně určené odpovědnosti — kdo incident vyhodnocuje, kdo rozhoduje o eskalaci, kdo komunikuje s regulátorem — se i menší problém snadno protáhne za stanovené termíny.

Jak k tomu přistupujeme

Naším cílem u NIS2 přípravy není vyprodukovat co nejvíc papírů, ale najít rovnováhu mezi tím, co je zákonná povinnost, a tím, co má provozní smysl. Postup, který používáme, má tři kroky: gap analýza vůči aktuálnímu stavu, příprava dokumentace, která odpovídá realitě, a fázovaný plán nápravy podle rizika a dopadu.

Pokud si nejste jistí, v jakém rozsahu se vás NIS2 týká, je to nejrychlejší otázka, kterou má smysl zodpovědět jako první.

Cyber Forza

Chcete probrat, jak by to fungovalo u vás?