
Evropská regulace poprvé říká nahlas, že za kyberbezpečnost a digitální odolnost ručí osobně vedení firmy. NIS2 i DORA dávají statutárnímu orgánu povinnost opatření schvalovat, dozorovat, nést za ně odpovědnost a sám se školit. To není věta pro právní oddělení. Je to věta o chování lidí na vrcholu firmy, a kousek po kousku o chování všech pod nimi.
A přitom se obě normy ve většině firem berou jako právní a IT projekt. Sepíšou se směrnice, pořídí nástroje, projde audit, odškrtne se hotovo. Jenže soulad na papíře a skutečná odolnost nejsou totéž. A právě v tom rozdílu se to láme.
Krátce a věcně, ať víme, o čem je řeč.
NIS2 je směrnice (EU) 2022/2555. Týká se zhruba osmnácti odvětví a dělí firmy na „základní“ a „důležité“ subjekty. Členské státy ji měly převést do národního práva do 17. října 2024. Ukládá povinnosti v řízení rizik, v hlášení incidentů a nově i v odpovědnosti vedení.
DORA je nařízení (EU) 2022/2554 a platí přímo, bez národní transpozice, od 17. ledna 2025. Míří na finanční sektor (přes dvacet typů subjektů) a řeší řízení ICT rizik, hlášení incidentů, testování odolnosti a řízení dodavatelů ICT. Finanční subjekty spadající pod DORA jsou přitom z hlášení incidentů podle NIS2 vyňaty, protože DORA je pro ně tou specifickou normou.
Společné jádro obou je stejné: posunout odpovědnost za bezpečnost a odolnost nahoru, k vedení, a opřít ji o konkrétní chování napříč firmou.
Můžete mít všechny směrnice, certifikace i nástroje, a stejně to nezvládnout. Odolnost se totiž neodehrává v dokumentech, ale v chování lidí ve chvíli, kdy se něco pokazí.
NIS2 dává na hlášení významného incidentu jasné lhůty: včasné varování do 24 hodin, podrobnější hlášení do 72 hodin a závěrečnou zprávu do měsíce. To není test toho, jestli máte sepsaný postup. Je to test toho, jestli člověk, který v noci uvidí podezřelý provoz, ví, že to má nahlásit, komu a jak rychle, a jestli to opravdu udělá. U DORY je to stejné: zvládnutý incident a obnova provozu nestojí na tom, že plán existuje, ale na tom, že ho lidé umějí a použijí pod tlakem.
Tady se potkává stará pravda celé téhle série: projekt dodá výstup, tedy směrnici, nástroj, audit. Výsledek, tedy že se podle toho lidé opravdu chovají, dodá až změna chování.
Není to jen náš pohled. Říkají to samy ty normy.
NIS2 v článku 20 ukládá vedení, že musí schválit opatření k řízení rizik, dozorovat jejich zavedení a může za jejich porušení ručit. Odpovědnost nejde přenést na IT a výmluva „tomu nerozumím“ neobstojí. Týž článek navíc nařizuje, že se vedení musí školit a že firma má srovnatelné školení nabízet i zaměstnancům. Základní kyberhygiena a školení jsou jedním z deseti minimálních opatření podle článku 21.
DORA v článku 5 klade na vedení „konečnou odpovědnost“ za řízení ICT rizik: rámec má definovat, schválit, dozorovat a financovat, ne ho hodit na IT. Členové vedení se podle téhož článku musí pravidelně školit, aby ICT rizikům vůbec rozuměli.
Jinak řečeno, i regulátor chápe soulad jako věc řízení a chování, ne jako balík technických opatření. Vedení je v obou normách fakticky v roli sponzora změny, který za ni ručí.
Vzorec bývá pořád stejný. Soulad se vezme jako jednorázový projekt s koncovým datem. IT napíše směrnice, které nikdo nečte. Školení se odbude formálním e-learningem, který lidem chování nezmění. Vedení dokumenty podepíše, aniž jim do hloubky rozumí. Audit projde, papír je v pořádku.
A pak přijde incident. Nahlášení se opozdí, protože nikdo nevěděl, že má. Postup se nedodrží, protože ho lidé znali jen z prezentace. Soulad na papíře byl, odolnost ne. Účet je pak dvojí: provozní škoda plus osobní odpovědnost vedení a pokuty, které u NIS2 jdou do 10 milionů eur nebo 2 % celosvětového obratu u základních subjektů a do 7 milionů eur nebo 1,4 % u důležitých.
Nenarazíte přitom jen na lhostejnost. Narazíte i na odpor, protože je to další povinnost navíc k běžné práci, a často další změna v řadě, na kterou jsou lidé už unavení.
Když to vezmete jako změnu chování, a ne jako právní projekt, dělají se jiné věci.
Začněte u „proč“ od vedení. Ne „musíme kvůli auditu“, ale co je v sázce a proč to dává smysl. A protože za to vedení ručí ze zákona, je namístě, aby u toho bylo vidět.
Pojmenujte konkrétní chování, ne jen pravidla. Kdo co udělá, když uvidí incident. Do kdy a komu se hlásí. Jak se postupuje při obnově. To jsou věci, které se dají natrénovat a změřit, na rozdíl od počtu podepsaných směrnic.
Školte tak, aby se chování změnilo. Prakticky, s nácvikem a podle rolí. Správce, vývojář a člen představenstva potřebují každý něco jiného. Jeden formální e-learning pro všechny tuhle laťku nesplní.
Udržujte to. Odolnost není stav, je to návyk. Cvičné incidenty, opakování, připomínání. Jednorázová kampaň před auditem vydrží do prvního ostrého problému.
Měřte správné věci. Ne kolik lidí prokliklo školení, ale jak rychle a správně se nahlásí cvičný incident a kolik lidí ví, co mají dělat. To je teprve důkaz, že soulad je i v chování.
NIS2 i DORA jsou napsané tak, že je nejde splnit jen technicky a právně. Žádají, aby se lidé od představenstva po první linii začali chovat jinak: rozuměli riziku, hlásili včas, drželi postup pod tlakem a dělali to dlouhodobě. To je učebnicová změna chování, jen s termínem daným zákonem a s osobní odpovědností vedení na konci. Soulad opřený jen o dokumenty vypadá hotově až do prvního ostrého incidentu. Soulad opřený o chování obstojí i pak. Vzít NIS2 a DORA jako řízení změny, a ne jako právní projekt, je proto to nejlevnější rozhodnutí, které u nich uděláte.
Pozn.: Lhůty hlášení (24 h / 72 h / měsíc) a sankce (10 mil. €/2 %, resp. 7 mil. €/1,4 %) vycházejí z textu směrnice NIS2 (čl. 23 a 34). Sankce za porušení DORA stanovují členské státy v národní úpravě jako „účinné, přiměřené a odrazující“ a mohou dopadat i na členy vedení. Klíčová data: transpozice NIS2 do 17. 10. 2024, použitelnost DORA od 17. 1. 2025.