Hlavní obsah

NIS 2 není GDPR: České firmy čeká mnohem náročnější implementace, než očekávaly

Komerční článek

Novela zákona o kybernetické bezpečnosti, směrnice NIS 2, už klepe na dveře. Firmám předepisuje množství nových povinných aktivit, které budou muset zajistit. Přímo se dotknou více než 6 000 subjektů a nepřímo tisíců dalších firem. NIS 2 není jako GDPR. Implementace v průměru zabere 12 až 18 měsíců a české firmy mají čas už jen do října 2025.

Foto: AdobeStock
Článek

Firmy často nemají jasnou představu, co pro ně splnění podmínek směrnice NIS 2 znamená a jak je celý proces časově náročný. Mnohé se mylně domnívají, že novela bude podobná GDPR a že bude stačit jen pár úprav ve smlouvách a organizačních směrnicích, které vyřeší koncem roku právníci, a bude hotovo. Rovněž argumenty, že zákon ještě neplatí a je lepší vyčkat, jsou liché. Přijetí zákona zásadně nezmění ani požadavky, ani lhůty na jeho implementaci.

Foto: AdobeStock

AdobeStock

Času na přípravu je opravdu málo

Příprava na novelu kybernetického zákona je časově náročná, i když k ní firma přistupuje zodpovědně a je po technické stránce dobře připravena. Skládá se z několika neoddělitelných částí, propojuje technologickou připravenost s nastavením procesů řízení kybernetické bezpečnosti a vyžaduje zpracování příslušné standardizované dokumentace.

Bez ohledu na úsilí a připravenost firmy může jen přípravná fáze trvat až 6 měsíců, někdy i déle. Výstupem je řada menších či větších projektů, které organizace musí realizovat do 12 měsíců od účinnosti zákona, respektive od přihlášení se k povinnostem požadavky zákona plnit. Zahrnují plánování investic, výběrová řízení, implementaci technologií a zavádění nových procesů, a to vše vyžaduje čas.

Foto: AdobeStock

AdobeStock

„Je nesmírně důležité nepodceňovat časovou náročnost přípravy. Často si vzpomenu na slova ředitele jednoho z našich významných zákazníků, který mi nedávno řekl: ‚Kdybych věděl, v jaké jsme situaci, začali bychom s přípravou na NIS 2 už před rokem,‘“ říká Martin Pavelka, produktový manažer CRA.

Velkým problémem bývá nedostatečná dokumentace. Klíčoví manažeři sice mají vše ve svých hlavách, ale potřebná dokumentace chybí. I když má firma kybernetickou bezpečnost technicky nastavenou správně, nosit informace v hlavě nebo generovat dokumentaci pomocí umělé inteligence opravdu nestačí.

Foto: AdobeStock

AdobeStock

Dotační programy jsou, ale…

Dotační programy sice existují, avšak výše nutných investic k získání dotace často přesahuje cenu analýzy a implementace nutných opatření. Většině firem se dotace proto nevyplatí využít.

Zkušený a důvěryhodný partner

Důležitým aspektem úspěchu je výběr důvěryhodného a zkušeného partnera, který firmu přípravou provede.

CRA již více než rok pomáhá firmám z různých odvětví s posouzením a s přípravou na plnění požadavků novely. Díky rozsáhlým zkušenostem, získaným jak ve velkých společnostech, tak v malých a středních firmách, rozumí opakujícím se problémům a výzvám, s nimiž se při implementaci firmy potýkají, a dokáže je efektivně řešit. Získejte více informací.

Foto: AdobeStock

AdobeStock

Výběr článků

Načítám