Zákon o kyberbezpečnosti přináší firmám nové povinnosti. Co to znamená pro HR?
Chcete zjistit, jak na tom jsou vaši zaměstnanci s kyberbezpečností? Zkuste tzv. phishingový test. Externí firma, případně někdo od vás z IT oddělení pošle zaměstnancům e-mail, který se z nich pokusí dostat přístupové jméno a heslo do podnikového systému.
Ze zkušenosti kyberbezpečnostního odborníka Karola Suchánka na to skočí až 30 % lidí. Na jeden šikovně napsaný manipulativní e-mail! Navíc zaměstnanci často ani netuší, že vaši firmu zrovna odevzdali do rukou hackerů.
Právě selhání lidského faktoru stojí za drtivou většinou kyberbezpečnostních incidentů. A ty už dávno nejsou nic ojedinělého. Celosvětově se podle Cyber Defense Magazine v roce 2023 denně uskutečnilo 1,7 milionu ransomware útoků. Ransomware útoky jsou takové, kdy vám hackeři zašifrují data a pak po vás chtějí výkupné.
K lidskému faktoru máte jako HRisté nejblíž. V součinnosti s IT oddělením a vedením můžete pro aspoň částečné ucpání téhle skuliny, která dělá každou firmu extrémně zranitelnou, mnoho udělat.
Týká se vás NIS2?
Výrazně vás v tom může posunout evropská směrnice NIS2 a její implementace do české legislativy v podobě nového zákona o kybernetické bezpečnosti, který by měl začít platit v průběhu roku 2025.
O co jde? Pokud coby firma nebo instituce zajišťujete jednu z tzv. regulovaných služeb, budete muset zavést konkrétní opatření pro zvýšení vlastní kybernetické bezpečnosti. Nepřímo pak na vás směrnice dopadne, i když jste dodavatelem takové firmy nebo instituce. Jde o oblasti jako například zdravotnictví, doprava, energetika, bankovnictví nebo veřejná správa.
Nová pravidla zavádějí povinnost hlásit kyberbezpečnostní incidenty nejpozději 24 hodin od jejich zjištění. To podle Karola Suchánka, poradce pro digitální bezpečnost a lektora vzdělávací platformy Seduo.cz, klade velké nároky zejména na jejich detekci, která se dnes v podnicích podceňuje. Nezřídka ve firmě netuší, že byli napadeni a někdo vysává jejich data, i po dobu několika měsíců.
Nevíte si rady s novou legislativou? Seduo je tu pro vás! Obecný pohled do NIS2 s důrazem na HR pro vás má Karol Suchánek, expert s diplomem z prestižní bostonské MIT.
Webinář vám nyní odemykáme na jeden měsíc zdarma, nezmeškejte příležitost dozvědět se víc.
Důraz je na prevenci a kontrolu
Zároveň zákon firmy tlačí, aby útokům předcházely. Konkrétně aby zavedly systém řízení bezpečnosti informací, včetně řízení aktiv (třeba je dobré vědět, kdo má klíče od serverovny a komu je může vydat), rizik (jejich vytipování a ošetření) nebo dohlížení na dodavatele. Zákon také nařizuje pravidelné zálohování dat a testování jejich obnovy po útoku.
Časté by měly být kontroly. A nedodržování zákona povede k pokutě ve výši až 250 milionů Kč nebo do výše 2 % ročního obratu firmy. Podle Suchánka je pokuta nastavená motivačně. Evropské unii i českému státu jde hlavně o to, aby svou kyberbezpečnost zvýšily, ne aby krachovaly společnosti.
Ne každý zaměstnanec se má dostat všude
Jak se NIS2 dotkne personalistů? Především ve dvou oblastech. Zaprvé jde o bezpečnost lidských zdrojů, správu a evidenci přístupů do firemního systému a bezpečnostní role.
Důležité je říct, že to jsou procesy, které by firmy měly zavést i tehdy, pokud pod NIS2 nespadají. Určitě se to vyplatí. I když hackerům výkupné nezaplatíte, dát dohromady systém po útoku stojí spoustu času a peněz. Nezřídka jsou to miliony.
Začíná to už u náboru. U nového člověka je nutné nastavit, do jakých částí firmy a jejího systému má mít povoleno se dostat. A vše je třeba zaevidovat. Zároveň hlídejte zaměstnance, kteří přecházejí z oddělení do oddělení, aby měli ta správná práva. A pokud nějaký člověk z firmy odchází, je nezbytné mu všechny přístupy odebrat. Zní to jako samozřejmost, ale často se na to zapomíná.
Obecně se u náboru doporučuje i prověření minulosti kandidáta a třeba zkouška kyberbezpečnostních znalostí, abyste věděli, jak na tom je.
Dále byste měli mít podle nového zákona bez ohledu na velikost firmy obsazené tři základní role:
- manažera kybernetické bezpečnosti, který ji řídí,
- architekta kybernetické bezpečnosti, který systém staví,
- bezpečnostního inženýra, který ho dennodenně monitoruje.
Počítejte s tím, že role možná budete muset outsourcovat, protože poptávka po těchto profesích je i kvůli NIS2 obrovská.
Vzdělávání o kyberbezpečnosti bude povinné
Druhá HR oblast, o které NIS2 mluví, je povinné vzdělávání běžných zaměstnanců i vrcholového managementu. Také jeho součástí by měla být evidence. Bude se to hodit při bezpečnostních auditech, když se bude například zkoumat, zda byl zaměstnanec, který pustil hackery do firmy, dostatečně poučený, že nemá říkat svoje hesla cizímu člověku do telefonu.
Jinak ale za problémy v oblasti kyberbezpečnosti bude nově primárně zodpovídat vedení firmy.
Jestli nevíte, kde zrovna se vzděláváním začít, zkuste naše Seduo. Expert Karol Suchánek tam má kromě webináře zaměřeného na kybernetické výzvy v éře NIS2 ještě dva videokurzy věnované bezpečnosti v online světě, další přibyde nejpozději v březnu 2025. Zaměstnanci se můžou proškolit také v bezpečnosti práce na cloudu nebo jak na zabezpečení počítače a hesel při práci s Macem. Po jejich absolvování navíc vždy dostanete certifikát. A i ten se vám může při bezpečnostním auditu hodit.
Článek vznikl ve spolupráci s největší česko-slovenskou advokátní kanceláří HAVEL & PARTNERS a data v něm jsou aktuální k začátku roku 2025. Ačkoliv ho viděly oči několika právníků specializujících se na pracovní právo, chápejte ho prosím pouze jako informativní a s obecným charakterem, nikoliv jako návod. Pokud ve vaší firmě dané téma řešíte, vždy se poraďte s experty na pracovní právo a právo IT.
