Кибербезопасность в Чехии выходит на новый уровень
Лишь за 2024 год Национальное управление по кибернетической и информационной безопасности зафиксировало 268 киберинцидентов. С 1 ноября в Чешской Республике вступил в силу новый закон о кибербезопасности, в соответствии с которым организации, работающие в экономически, социально или стратегически значимых отраслях, будут обязаны установить, как минимум, базовый уровень безопасности.
Новый закон о кибербезопасности основан на европейской директиве NIS-2, и его основная цель заключается в том, чтобы важные организации установили хотя бы базовый уровень защиты от кибератак. Директор Национального управления по кибернетической и информационной безопасности (NÚKIB) Лукаш Кинтр сообщил, что это первая за более чем десять лет масштабная модернизация системы обеспечения кибербезопасности. По его словам, за это время сфера значительно изменилась, поэтому обновление законодательства было необходимым. Постановление предусматривает расширение круга органов и лиц, на которые оно распространяется, и чья защита и деятельность имеют экономическое и общественное значение. Цель закона – добиться того, чтобы важные организации внедряли превентивные меры по укреплению своей кибербезопасности, включая обязательное сообщение о киберинцидентах и их устранение.
«Новый закон коснется крупных и средних предприятий как государственного, так и частного сектора в 22 отраслях. По сути, он вводит новый стандарт кибербезопасности по всей Чехии и в Европейском союзе. Закон требует внедрить базовые меры для защиты информационных и коммуникационных систем. Он повысит их устойчивость к кибератакам, количество которых постоянно растет, а сами злоумышленники становятся все более изощренными, умелыми и успешными. То есть главная цель закона – укрепление устойчивости к атакам. В идеале – чтобы киберинцидент вообще не произошел. А если он все же произойдет, то закон предусматривает процедуры, которые помогут организации восстановиться после такого инцидента», - рассказал в эфире «Чешского Радио» директор отдела регулирования Национального управления по кибернетической и информационной безопасности Адам Кучинский.
По данным IT-экспертов, опрошенных информагентством ČTK, новый закон может затронуть от 6000 до 10 000 субъектов. Обязанности коснутся широкого круга отраслей, которые будут определены отдельным постановлением. Помимо традиционных отраслей, таких как энергетика и телекоммуникации, ныне закон охватывает также пищевую промышленность, водоснабжение, обращение с отходами, транспорт (в частности, морской). Он также коснется муниципалитетов с расширенными полномочиями и других ключевых секторов.
Как рассказал Адам Кучинский, на своем портале Национальное управление по кибернетической и информационной безопасности обнародовало калькулятор, где, фирмы будут должны пройти самоидентификацию, введя основные данные о своей компании.
«В принципе, проверку должны пройти все компании, которых это касается. Речь идет о средних и крупных фирмах – это основной критерий. В некоторых отраслях, например, у интернет-провайдеров, регулирование распространяется на всех без исключения. Поэтому я рекомендую заглянуть в соответствующее постановление или воспользоваться онлайн-калькулятором и проверить, указана ли услуга, которую предоставляет ваша организация, в этом документе или в калькуляторе. Так компании смогут определить, подпадают ли они под действие закона. Сообщить о том, что они соответствуют критериям для регистрации регулируемой услуги, организации обязаны не позднее чем через 60 дней с момента выполнения условий. Таким образом, до конца этого года компании должны пройти проверку, а если они соответствуют установленным критериям, то обязаны зарегистрироваться через портал Национального управления по кибернетической и информационной безопасности».
Затем компания обязана внедрить меры безопасности, которые включают, например, управление активами и рисками, определение ролей в области безопасности, введение политики безопасности, обучение сотрудников и руководства, регулярное сообщение об инцидентах, а также тщательное управление безопасностью цепочек поставок, рассказал агентству ČTK Иржи Швейда из юридической фирмы Dentons.
В случае нарушения правил, по словам юристов Dentons, членам статутных органов грозит, помимо прочего, личная ответственность за причиненный ущерб или нематериальный вред, ответственность перед кредиторами по долгам компании, а также отстранение от должности и запрет на ее исполнение сроком не менее шести месяцев. Санкции могут достигать до 20 миллионов крон (порядка 822 тыс евро). Для компаний предусмотрены штрафы до 250 миллионов крон (порядка 10,3 млн евро) или до 2% годового оборота.
«Компаниям, которые считают, что на них не распространяется директива NIS-2, следует тщательно проанализировать не только свою основную деятельность, но и побочные или дополнительные виды деятельности. Регулирование может касаться не только основного сектора их бизнеса, но и смежных направлений, которые затрагивают регулируемые области. Например, компании, занимающиеся преимущественно логистикой, производством, розничной торговлей или другими отраслями, могут подпадать под регулирование косвенно, если их дополнительные виды деятельности включают элементы критической инфраструктуры», - отметил эксперт по кибербезопасности из компании BDO Либор Шрам.
Закон также позволит исключать технологии, которые могут представлять угрозу безопасности государства. Правила предусматривают проверку поставщиков технологий для государственных структур. Механизм проверки цепочки поставок будет применяться только к наиболее критическим частям инфраструктуры. Правительство сможет расширить запрет на использование определенных поставщиков и на объекты с высокой степенью критичности.
Теперь, как считает Адам Кучинский, наступает более сложный этап внедрения для компаний и учреждений, которые только начинают работать с требованиями кибербезопасности.
«Если кто-то до сих пор не занимался вопросами кибербезопасности, то, конечно, это может быть в определенной степени сложно – как и любая новая деятельность, с которой вы до сих пор не сталкивались. Я бы разделил ситуацию так: крупные компании, которые уже занимаются кибербезопасностью, как правило, имеют собственные команды безопасности, занимающиеся этой областью. У средних компаний все во многом зависит от отрасли, в которой они работают. Во многих секторах уже существовали определенные стандарты, поэтому эти компании уже что-то предпринимали. Для тех же, для кого это совершенно новое направление, сложность будет в первую очередь на начальном этапе. Мы, однако, стараемся предоставлять методическую поддержку. То есть компании могут обращаться к нам за консультацией и советом. Кроме того, важно сказать, что закон предусматривает два режима. Более строгий режим – он предназначен в основном для крупных компаний, работающих в критически важных отраслях, таких как энергетика, транспорт или здравоохранение. И менее строгий режим – он касается, например, муниципалитетов с расширенными полномочиями и задуман как базовый уровень. Без таких мер, по моему мнению, вообще опасно эксплуатировать какую-либо информационную или коммуникационную систему».
Директор по данным компании Creative Dock Адам Ганка сообщил ČTK, что директива NIS2 является ключевой для чешской кибербезопасности, однако Чехия усилила ее и добавила собственные, более строгие требования. «Результатом, таким образом, является более высокий уровень безопасности, но также большая бюрократия и более высокие расходы для компаний и организаций», - считает Адам Ганка.





