Znáte ten šanon? Ten speciální, trochu zaprášený, který sedí v zadní části skříně vedoucího nákupu nebo IT manažera. Otevírá se zpravidla jednou za tři roky – přesně v okamžiku, kdy se na recepci ohlásí auditor s certifikačním orgánem. Šanon se vytáhne, otřese od prachu, položí na stůl. Auditor je spokojený. Šanon se vrátí do skříně. A firma si dál žije svým vlastním životem.
Ve své kariéře jsem se s tímto přístupem setkal u ISO 9001, ISO 14001 i dalších norem. A upřímně řečeno, chápu ho. Normy mnohdy působí byrokraticky, neprakticky, odtrženě od každodenní reality serverovny nebo výrobní haly. Ale s NIS2 se mění pravidla hry – zásadně a nevratně.
Certifikát není cíl. Procesy jsou cíl.
Celý smysl norem je jediný: aby firma a její procesy byly předvídatelné. Ne pro auditora. Pro zákazníka. Pro obchodního partnera. Pro trh. A pro firmu samotnou.
Představte si firmu jako mozaiku. Lidé jsou kamínky. Pokud je mozaika dobře složená – každý kamínek má své místo, svou roli, svou kompetenci – pak výměna jednoho kamínku celý obraz nerozboří. Firma nezkolabuje, když odejde klíčový člověk. Nový kolega přichází do jasně definovaného prostředí: ví, co má dělat, kde končí jeho odpovědnost a kde začíná odpovědnost kolegy vedle něj.
To je přesně to, co dobře zavedené normy a procesy vytvářejí. Ne byrokracii. Pevné základy.
Pokud tyto principy skutečně používáme – ne jen na papíře, ale v praxi – pak jsme pro naše klienty předvídatelní. A předvídatelný partner je v dnešním světě vzácný.
Kde se NIS2 zásadně liší od všeho předchozího
Zákon o kybernetické bezpečnosti implementující evropskou směrnici NIS2 nepřináší jen další normu do portfolia ISO certifikátů. Přináší zákonnou povinnost s drakonickými sankcemi – pro firmy v rozsáhlém spektru odvětví, včetně výroby, energetiky, dopravy, zdravotnictví nebo digitální infrastruktury.
A zde se setkávám s uvažováním, které mě znepokojuje více než onen šanon v zadní části skříně:
„Hlavně abychom do toho nespadli. Nějak to uděláme tak, abychom do působnosti zákona nespadali. A pokud přijde orgán dohledu, budeme prostě tvrdit, že se nás to netýká."
Tato strategie je nejen krátkozraká. Je nebezpečná.
Proč? NIS2 nestojí na dobré vůli firmy sama sebe zařadit nebo nezařadit do působnosti zákona. NÚKIB provádí vlastní šetření a nepřichází jen na plánované kontroly. Přichází především v reakci na kybernetický incident. Právě tehdy zjistí zároveň to, že firma neplnila zákonné povinnosti. Z problému bezpečnostního se stává problém právní a existenční zároveň.
Sankce mohou dosahovat až 10 milionů EUR nebo 2 % celosvětového ročního obratu u tzv. základních subjektů, a až 7 milionů EUR nebo 1,4 % obratu u důležitých subjektů. Záměrné vyhýbání se povinnosti situaci ještě výrazně zhoršuje.
Když nespadáte pod NIS2 – váš zákazník možná ano
Firmy, které přímo pod NIS2 nespadají, mohou brzy zjistit, že jejich velcí odběratelé – kteří pod zákon spadají – začnou od dodavatelů vyžadovat prokázaný soulad s bezpečnostními standardy jako podmínku kontraktu.
NIS2 totiž explicitně vyžaduje řízení bezpečnosti v celém dodavatelském řetězci. Jinými slovy: i když vás zákon přímo nereguluje, vaši zákazníci vás regulovat začnou. A certifikát ISO 27001 bude stále častěji vstupenkou do tendru, nikoliv jen ozdobou na webových stránkách.
ISO 27001 jako strategická investice
ISO/IEC 27001 – norma pro systémy řízení bezpečnosti informací (ISMS) – není seznam technických opatření, která se jednou nainstalují a zapomenou. Je to systémový přístup: zahrnuje politiky, procesy, odpovědnosti, řízení rizik, monitorování a neustálé zlepšování.
Dobré procesy přitom nestojí samy o sobě – potřebují podporu moderních technických nástrojů. Ochrana koncových stanic (EDR), monitoring bezpečnostních událostí (SIEM) nebo vícefaktorové ověřování (MFA) nejsou volitelný doplněk. Jsou to nezbytné nástroje, bez kterých i sebelepší procesní nastavení selhává.
Firma, která systém skutečně zavede a provozuje, získává:
- Jasný přehled nad informačními aktivy – ví, co má, kde to má a kdo k tomu má přístup
- Schopnost řídit rizika proaktivně – ne reaktivně po incidentu
- Důvěryhodnost vůči obchodním partnerům – certifikát je stále více předpokladem pro vstup do dodavatelských řetězců nadnárodních firem
- Připravenost na regulatorní požadavky – ISO 27001 a NIS2 se v mnohém překrývají; firma se zavedeným ISMS má výrazně snazší cestu k souladu se zákonem
| Parametr | Šanon v zadní části skříně | Živé ISMS |
|---|---|---|
| Certifikát | Ano (pro jistotu) | Ano (jako výsledek) |
| Soulad s NIS2 | Sporný, rizikový | Prokazatelný |
| Reakce na incident | Chaos, volání pojišťovně | Definovaný postup, rychlá obnova |
| Dodavatelský řetězec | Riziko ztráty kontraktů | Vstupenka do tendru |
| Sankce NÚKIB | Plné riziko | Minimalizované |
Pragmatický přístup: Jak na to správně
Nezastávám slepé kopírování procesů z norem bez přemýšlení. Normy je třeba podrobit kritickému myšlení a přizpůsobit je reálnému kontextu firmy. Ale přizpůsobit neznamená ignorovat.
- Zjistěte, zda se vás NIS2 týká – sami. Kritéria působnosti jsou v zákoně a směrnici jasně definována: odvětví, velikost firmy, typ poskytované služby. Na základě těchto kritérií dokáže vedení firmy nebo IT manažer působnost posoudit samostatně. Pochybnosti řešte s právníkem nebo přímo s NÚKIB – písemné stanovisko vás chrání.
- Vezměte vážně reálné dopady kybernetického útoku. Ransomwarový útok, který zašifruje výrobní data a zastaví provoz na dva týdny, není teoretická hrozba. Firmám s funkčním ISMS se daří podobné incidenty odhalit dříve, izolovat rychleji a obnovit provoz s výrazně menšími ztrátami.
- Vnímejte ISO 27001 jako základ, ne jako nadstavbu. Pokud firma musí plnit NIS2, zavedený ISMS podle ISO 27001 je nejstrukturovanější a nejprokazatelnější cesta k souladu.
- Zapojte vedení firmy od samého začátku. Bezpečnost informací není IT problém. Je to problém managementu. ISO 27001 to explicitně vyžaduje – a správně. Bez závazku vedení ISMS fungovat nebude.
- Zaměřte se na procesy, ne na dokumenty. Dokument, který nikdo nečte a podle kterého nikdo nepostupuje, má nulovou hodnotu. Štos papírů nic neznamená. Zavedené procesy v praxi znamenají vše.
Důležitá poznámka k časovému rámci: Skutečné zavedení ISMS není projekt na tři měsíce. Je to trvalá změna způsobu, jakým firma přemýšlí o svých informacích a o rizicích, která je ohrožují. Počítejte s tím od začátku.
Závěr: Tentokrát jde o víc než certifikát
ISO normy měly vždy ambici být nástrojem pro skutečné zlepšování firem. Praxe byla někdy jiná – a šanon v zadní části skříně se stal skoro folklórem podnikového světa.
S NIS2 a zákonem o kybernetické bezpečnosti se ale mění podmínky hry. Nejde jen o certifikát na zdi a dobré jméno. Jde o zákonnou povinnost, reálné sankce a – v případě závažného kybernetického incidentu – o existenci firmy samotné.
Firmy, které přistoupí k ISO 27001 a NIS2 pragmaticky, s pokorou a s ochotou skutečně změnit procesy, nezískávají jen soulad s legislativou. Získávají předvídatelnost, důvěryhodnost a otevřené dveře k novým obchodním příležitostem.
Tentokrát šanon nestačí. A to je vlastně dobrá zpráva – pro ty, kteří to pochopí dřív než ostatní.
Slovníček pojmů
| EDR | Endpoint Detection and Response – ochrana a monitoring koncových stanic (PC, servery) |
| ISMS | Information Security Management System – systém řízení bezpečnosti informací dle ISO 27001 |
| MFA | Multi-Factor Authentication – vícefaktorové ověřování identity uživatele |
| NIS2 | Network and Information Security Directive 2 – evropská směrnice o kybernetické bezpečnosti |
| NÚKIB | Národní úřad pro kybernetickou a informační bezpečnost – český orgán dohledu nad NIS2 |
| SIEM | Security Information and Event Management – centralizovaný monitoring bezpečnostních událostí |
| SLA | Service Level Agreement – smlouva garantující úroveň dostupnosti a kvality služby |