NIS2 není IT projekt.
Je to manažerské téma.

Mnoho firem dnes vnímá NIS2 jako další technickou regulaci.

Jakmile se téma nové směrnice NIS2 nebo připravovaného nového zákona o kybernetické bezpečnosti objeví na poradě vedení, bývá často automaticky předáno IT oddělení nebo externím specialistům na kybernetickou bezpečnost.

Na první pohled to dává smysl.

NIS2 bývá spojována s informační bezpečností, kybernetickými hrozbami a technologiemi.

Při bližším pohledu je však zřejmé, že velká část požadavků nesměřuje pouze na technologie.

Směřuje na způsob řízení organizace.

Právě proto bývá jednou z největších chyb považovat NIS2 za problém IT oddělení.

NIS2 není IT projekt.Je to manažerské téma.

Ve skutečnosti jde především o téma odpovědností, řízení rizik, rozhodování a fungování firmy jako celku.

Proč se o NIS2 tolik mluví

Důvodů je několik.

Evropská směrnice NIS2 navazuje na rostoucí význam kybernetické bezpečnosti a současně rozšiřuje okruh organizací, kterých se nová pravidla týkají.

V českém prostředí je navíc spojena s připravovaným novým zákonem o kybernetické bezpečnosti.

Pro mnoho organizací tak nejde pouze o další regulatorní změnu.

Jde o situaci, kdy se otázky bezpečnosti, řízení rizik a odolnosti organizace dostávají výrazně více do pozornosti managementu.

Zároveň se mění i očekávání zákazníků, partnerů a dalších zainteresovaných stran.

Téma informační bezpečnosti přestává být vnímáno jako specializovaná disciplína IT oddělení.

Postupně se stává součástí běžného řízení organizace.

Koho se NIS2 může týkat

Jednou z nejčastějších otázek, které dnes management řeší, je:

„Týká se NIS2 i naší organizace?“

Přesná odpověď závisí na konkrétní situaci a konečné podobě legislativy.

Z manažerského pohledu je však důležité vědět, že mezi dotčené organizace mohou patřit například:

• energetické společnosti,
• dopravní organizace,
• zdravotnická zařízení,
• poskytovatelé digitálních služeb,
• technologické firmy,
• výrobní společnosti,
• logistické firmy,
• další organizace působící ve významných nebo kritických sektorech.

Pro mnoho firem však dnes není nejdůležitější otázkou pouze to, zda budou přímo regulovaným subjektem.

Stále častěji řeší, zda se nové požadavky začnou objevovat ze strany zákazníků, obchodních partnerů nebo odběratelů.

Podobně jako u dalších oblastí řízení rizik se totiž požadavky postupně přenášejí napříč celým dodavatelským řetězcem.

Právě proto začínají téma NIS2 sledovat i organizace, které možná nikdy nebudou přímo spadat pod regulaci, ale mohou se s jejími dopady setkat prostřednictvím svých zákazníků.

Největší omyl: „To vyřeší IT“

V řadě firem probíhá podobný scénář.

Management identifikuje, že se organizace bude muset tématem NIS2 zabývat.

Následně je odpovědnost předána IT oddělení.

Tím však problém nekončí.

Mnoho požadavků souvisejících s NIS2 leží mimo oblast technologií.

Týkají se například:

• odpovědností managementu,
• řízení rizik,
• krizového řízení,
• rozhodovacích procesů,
• řízení dodavatelů,
• interních pravidel a odpovědností.

Technologie mohou být součástí řešení.

Samy o sobě však nedokážou nahradit systémové řízení organizace.

Pokud vedení firmy považuje NIS2 výhradně za úkol IT oddělení, velmi často přehlédne právě oblasti, které mají na celkovou připravenost organizace zásadní vliv.

Ve firmách často nevzniká problém proto, že by bezpečnost nikdo neřešil. Častěji vzniká proto, že odpovědnosti, rizika a rozhodnutí zůstávají roztříštěné mezi IT, provoz a vedení.

Řízení rizik je úkol managementu

Jedním z nejdůležitějších témat, která se v souvislosti s NIS2 objevují, je řízení rizik.

Právě zde je dobře vidět, proč se nejedná pouze o technickou záležitost.

Technologie mohou pomoci chránit systémy, data nebo infrastrukturu.

Nedokážou však samy rozhodnout:

• co je pro organizaci kritické,
• jaká rizika jsou přijatelná,
• kde má smysl investovat,
• jaké dopady jsou pro firmu akceptovatelné.

To jsou rozhodnutí, která musí dělat vedení organizace.

Řízení rizik není technická disciplína.

Je to součást řízení firmy.

Stejně jako management rozhoduje o investicích, strategii nebo provozních prioritách, musí rozhodovat také o tom, jaká rizika je organizace ochotna přijmout a jaká nikoliv.

Právě proto nelze odpovědnost za NIS2 delegovat pouze na IT oddělení.

NIS2 se netýká pouze regulovaných subjektů

Častým omylem je představa, že se NIS2 týká pouze organizací, které budou přímo spadat pod novou regulaci.

Praxe bývá složitější.

Požadavky na bezpečnost, řízení rizik a auditní připravenost se postupně přenášejí napříč celým dodavatelským řetězcem.

Podobný vývoj lze sledovat již dnes.

Velké organizace stále častěji požadují od svých dodavatelů informace o bezpečnostních opatřeních, řízení rizik nebo schopnosti zvládat mimořádné situace.

To se může týkat:

• výrobních firem,
• technologických společností,
• logistických firem,
• poskytovatelů služeb,
• specializovaných subdodavatelů.

Firma tak nemusí být přímo regulovaným subjektem, aby se s podobnými požadavky začala setkávat.

Požadavky se postupně přenášejí od největších organizací směrem k jejich partnerům a dodavatelům.

Jak to vypadá v praxi

• téma NIS2 je po první poradě automaticky předáno IT oddělení,
• vedení firmy neřeší, která rizika jsou akceptovatelná a kde má smysl investovat,
• krizové scénáře nejsou propojené s odpovědnostmi managementu a provozu,
• požadavky zákazníků nebo partnerů se řeší až ve chvíli, kdy vznikne konkrétní eskalace,
• organizace neví, zda se jí nové požadavky dotknou přímo nebo přes dodavatelský řetězec.

Jak do toho zapadá ISO 27001

V diskusích o NIS2 se často objevuje také ISO/IEC 27001.

Důvod je poměrně jednoduchý.

Řada oblastí, které organizace řeší v souvislosti s NIS2, se objevuje také v rámci systému řízení bezpečnosti informací.

Patří mezi ně například:

• řízení rizik,
• odpovědnosti,
• bezpečnostní procesy,
• práce s dodavateli,
• kontinuální zlepšování.

Proto některé organizace využívají ISO 27001 jako rámec pro systematické řízení informační bezpečnosti.

Nejde přitom o samotnou certifikaci.

Důležitější je existence funkčního systému, který pomáhá řídit bezpečnost způsobem odpovídajícím velikosti a potřebám organizace.

Co by si měl management odnést

NIS2 není pouze o kybernetických útocích.

Není pouze o technologiích.

A není ani pouze o IT oddělení.

Ve své podstatě jde o téma řízení organizace.

Týká se způsobu, jakým firma pracuje s riziky, jak nastavuje odpovědnosti, jak se připravuje na krizové situace a jak řídí své fungování.

Právě proto by se o NIS2 nemělo diskutovat pouze na úrovni IT specialistů.

Je to téma, které si zaslouží pozornost managementu.

Závěr

Mnoho firem dnes začíná řešit NIS2 jako technologický nebo legislativní projekt.

Ve skutečnosti však velká část požadavků směřuje do oblasti řízení organizace.

Týká se odpovědností, rozhodování, řízení rizik, krizové připravenosti i práce s dodavateli.

Technologie jsou důležitou součástí řešení.

Nejsou však jeho podstatou.

Podstatou je schopnost organizace dlouhodobě a systematicky řídit svá rizika a fungování.

A právě proto by NIS2 nemělo zůstat pouze na IT oddělení.