Příprava vaší firmy na nadcházející předpisy o kybernetické bezpečnosti a ochraně osobních údajů pro rok 2025

Výzkum společnosti Canon ukázal, že vedoucí pracovníci v oblasti IT neustále vyhodnocují bezpečnost informací jako jednu ze svých tří nejobtížnějších a časově nejnáročnějších povinností posledních pěti let.

Ve skutečnosti byla bezpečnost informací (ve 33 %) hodnocena jako výzva číslo jedna, po níž těsně následovalo zajišťování souladu se zákony a předpisy (ve 25 %). Bezpečnost informací je proto stále naléhavou záležitostí, protože regulační povinnosti a technologická složitost stále rostou.

Roste i množství nařízení, přičemž EU a národní vlády upevňují a rozšiřují oblast působnosti směrnice o bezpečnosti, aby posílily bezpečnost informací. V důsledku toho došlo k rozšíření počtu odvětví, která spadají do působnosti právních předpisů, a také upevnění povinného podávání zpráv a bezpečnostních opatření, když vstoupí v platnost nové iniciativy.

Tato „regulační revoluce“ bude nepochybně pokračovat. Což vyžaduje, abyste se dívali a plánovali hodně dopředu a zároveň zvládali vzrušující výzvy. Některé vyžadují naléhavou pozornost, jako je například nařízení DORA (Digitální provozní odolnost finančního sektoru neboli Digital Operational Resilience Act), které vstoupilo v platnost počátkem roku 2025. Ukládá povinné testování odolnosti a monitorování – což má dopad na firmy i jejich zákazníky. Zatímco ostatní, jako je nařízení o kybernetické odolnosti (Cyber Resilience Act), které má vstoupit v platnost v roce 2026 a v plném rozsahu začne platit v roce 2027, zajistí, že dodržování předpisů bude prioritou i v dalších letech.

Politika NIS2 (Systém bezpečnosti sítí a informací neboli Network and Information Security System 2) je také klíčovou součástí změn. Politika NIS2 je navržena tak, aby posílila kybernetickou odolnost v celé EU, a rozšiřuje oblast působnosti předchozí politiky NIS zavedením přísnějších povinností v oblasti řízení rizik a hlášení incidentů a posíleným regulačním dohledem.

Aby bylo možné čelit současným výzvám a přizpůsobit se budoucímu prostředí bezpečnosti informací, které se neustále vyvíjí, je pro vaše provozy klíčová spolupráce s partnerem disponujícím odbornými znalostmi a řešeními připravenými na budoucnost. Firma se může připravit na nové a nově vznikající předpisy a vyhnout se potenciálně nákladným změnám svých provozů, jak se blíží termíny zavedení: může totiž zohlednit následující úvahy a zvolit aktivní přístup k bezpečnosti informací.

Firmy musí mít jasnou představu o právních předpisech, které se vztahují na jejich podnikání, odvětví a místní region. Toho lze dosáhnout konzultací s příslušnými právními týmy nebo odborníky v této oblasti. Díky tomu budou organizace lépe chápat důsledky a širší dopad na své podnikání.

Klíčové je také zavedení postupu průběžného sledování nově vznikajících právních předpisů a trendů v oblasti regulace. To lze zařídit prostřednictvím vyhrazeného interního týmu nebo externího odborného dodavatele, což organizacím umožní předvídat budoucí požadavky a aktivně se přizpůsobovat.

Aby se bezpečnostní týmy mohly orientovat v měnícím se regulačním prostředí, mohou také vyžadovat rozšíření – buď najmutím, anebo proškolením pracovníků, kteří se specializují na dodržování bezpečnostních předpisů, tlumočení legislativy a zavádění kontrolních prvků zabezpečení. Takový krok může mít vliv na zdroje, personální obsazení a rozpočty v závislosti na požadované úrovni přizpůsobení.

Týmy IT musí také přizpůsobit a stanovit jasné postupy pro hlášení zranitelných míst, opravy, reakce na incidenty a oznámení o porušení dat, jak to vyžaduje politika NIS2. Tyto postupy jsou zásadní a musí být dokumentovány a pravidelně kontrolovány, aby byl zajištěn soulad se zákony a předpisy. V případě potřeby mohou organizace také investovat do dalšího softwaru a širších technologií, které tyto postupy podporují.

Dodavatelé mohou sice být mimo vaši organizaci, ale jejich postupy a soulad se zákony a předpisy v oblasti vykazování na vás přesto mohou mít přímý dopad. Je důležité spolupracovat s dodavateli, seznámit se s jejich postupy zabezpečení a provádět audity, které pomohou zajisti soulad dodavatelů s vašimi vlastními standardy dodržování předpisů.

Zatímco některé incidenty zabezpečení mohou mít významný dopad na vaše podnikání, je důležité, aby zaměstnanci sdělovali rizika, která zjistí, a byla podporována kultura otevřeného nahlašování. Povzbuzování interního nahlašování umožní vaší organizaci učit se z chyb a zavádět nové postupy bez obav z odplaty.

Nové a nově vznikající regulace jsou pozitivní silou pro spotřebitele a odvětví zabezpečení jako celek a v konečném důsledku povedou k bezpečnějšímu a transparentnějšímu digitálnímu prostředí pro firmy. I když mohou vzniknout krátkodobé náklady, dlouhodobé výhody přizpůsobení a přijetí aktivního přístupu k regulaci daleko převažují nad výzvami, které přinášejí.