Evropská směrnice NIS2, která zpřísňuje kyberbezpečnostní požadavky pro firmy i veřejné instituce, by měla být v dohledné době v České republice schválena. Její dopady mohou být pro některé subjekty značně problematické. Nová pravidla rozšiřují okruh organizací, které budou muset splňovat přísné bezpečnostní standardy, a hrozí vysokými pokutami za jejich porušení.
Mnoho firem a organizací si zatím plně neuvědomuje, co pro ně zavedení NIS2 znamená. Budou muset zavést přísnější bezpečnostní opatření, pravidelně hlásit incidenty a provádět auditní kontroly. Nedodržení pravidel může vést k sankcím ve výši až 10 milionů eur nebo 2 % z celosvětového obratu firmy.
Hlavní problém spočívá v tom, že řada firem se na změny dosud nepřipravila. Odborníci varují, že s blížícím se termínem implementace může mezi firmami propuknout panika, zejména pokud zjistí, že jejich současná bezpečnostní opatření neodpovídají novým požadavkům a dostupná kapacita dodavatelských subjektů je menší než reálná budoucí poptávka.
Stát slibuje podporu, ale konkrétní detaily zůstávají nejasné. Firmy by proto neměly čekat na poslední chvíli a měly by začít s přípravami co nejdříve. Směrnice NIS2 sice přináší vyšší úroveň kybernetické ochrany, ale pro nepřipravené subjekty může znamenat značné komplikace.
Odhadnout přesný převis poptávky po specialistech na NIS2 nad dostupnou kapacitou je obtížné, ale existují náznaky, že problém bude značný. Důvody jsou následující:
- Nedostatek odborníků na kyberbezpečnost – Již nyní v ČR i v celé EU chybí tisíce odborníků na kybernetickou bezpečnost. Zavedení NIS2 dramaticky zvýší poptávku po těchto specialistech.
- Rozšíření povinných subjektů – Oproti původní směrnici NIS se NIS2 vztahuje na mnohem širší spektrum organizací, včetně středně velkých podniků v kritických odvětvích. Tyto firmy dosud kyberbezpečnost neřešily na tak přísné úrovni a budou hledat odborníky na externím trhu.
- Krátké implementační lhůty – Firmy budou muset nové požadavky splnit relativně rychle, což vyvolá nárazovou poptávku po auditech, bezpečnostních opatřeních a školeních. Poptávka tak může krátkodobě několikanásobně převýšit dostupné kapacity.
- Riziko zvyšování cen za služby – Při vysoké poptávce a nízké nabídce mohou ceny služeb kyberbezpečnostních expertů prudce růst, což může být problém zejména pro menší firmy s omezeným rozpočtem.
Odhad čísel
Například podle studie Evropské agentury pro kybernetickou bezpečnost (ENISA) chybí v EU až 500 000 specialistů na kyberbezpečnost. V ČR se odhady pohybují kolem 15 000–20 000 chybějících expertů. S příchodem NIS2 se může poptávka zvýšit o desítky procent, což způsobí výrazný tlak na trh.
Možné řešení
- Firmy by měly začít s implementací co nejdříve a nespoléhat na to, že na poslední chvíli najdou dostupné specialisty.
- Investice do školení vlastních zaměstnanců může být efektivnější než hledání externích expertů.
- Automatizace a využití specializovaných bezpečnostních nástrojů mohou částečně snížit potřebu lidských zdrojů.
Celkově lze očekávat, že převis poptávky nad dostupnou kapacitou bude značný, přinejmenším v prvních letech po zavedení NIS2.
Za Safee tým Petr Kacálek