21.5.2025, 20:55 – stalo se za hodinu

Je 21. května 2025 a my jsme v kanceláři prosperující firmy. V potemnělé kanceláři, která je osvětlena jen slabým svitem počítačové obrazovky. U pracovního stolu sedí ředitel společnosti a čelí své nejtemnější hodině. Světlo z obrazovky ozařuje jeho ustaraný, bledý obličej. Lokty na stole, hlava v dlaních, nepřítomný pohled na obrazovku. Na obrazovce můžeme odtušit červené grafy a dlouhou tabulku plnou červených vykřičníků. Na zemi jsou zmačkané noviny. Byly zmačkány krátce poté, co si ředitel přečetl: „...tento únik dat postihl stovky zákazníků firmy Čepreza. Citlivá data unikla poté, co...“

A co se děje v ředitelově mysli? Jeho myšlenky se tryskem řítí od jednoho scénáře k druhému. Finanční dopady, děti, zákazníci, právě probíhající rozvod s manželkou... Podívejme se, co se mu rojí v hlavě...

První kdybych

Začíná ho ovládat panický hněv. Přesně si vzpomíná, jak přistoupil formálně (až odmítavě) k novému zákonu o kyberbezpečnosti, když byl čas se jím zaobírat. Jeho hněv je ale kupodivu nasměrován na druhé. „Jasně jsem řekl IT manažerovi, ať se tím zaobírá on.“ Ve skutečnosti však hrubě podcenil implementaci NIS2, kterou považoval za byrokratickou nezbytnost, jež bude vyřešena nějakou šablonou nebo formálním přístupem. Nechtěl utrácet za něco, co vlastně ani nechápal. „Může za to IT manažer a můj zástupce, poslal jsem jim přeci e-mail, ať se na to podívají.“ Hlava mu pracuje na plné obrátky, žíly na čele mu pulsují, jako by byly tepnami. „Můžou za to zákonodárci. Ti pitomci. Pořád nás dusí byrokratickými nesmysly. Může za to Evropská unie.“ Při této myšlence mu vyrazí studený pot na čele – dojde mu, přesně v této chvíli, kdy viní celý svět, že za to může on. Je to jeho chyba. Poprvé v životě si otevírá příručku k implementaci NIS2 a čte: ...povinnostem vrcholového vedení, mezi které patří i zajištění stanovení bezpečnostní politiky a cílů...

Hluboký pád z výšin. Studený pot na čele. Roztřesené ruce. „Kdybych jen nastartoval celý NIS2 proces pořádně. Já to hodil na šéfa IT s tím, že to bude jen formalita. Kdybych jen poslechl toho externího poradce kybernetické bezpečnosti.“ Oprašuje příručku a znova se do ní pouští. Spíše v ní zběsile listuje...

Druhé kdybych

Otírá si studený pot z vrásčitého čela a v hlavě mu lítají další myšlenky. „Jak tohle vysvětlím majiteli firmy? A jak to vysvětlím regulačnímu úřadu (NÚKIB)?! To bude pokuta!! A co zákazníci?? A žaloby od nich!!“ Hlava ho navede na jeden konkrétní problém, snad se tím chrání, aby se mu nerozskočila. Začíná přemýšlet o zákaznících. Zvedá zmačkané noviny a v nich hledá jednu statistiku. „Bylo postiženo téměř 40 procent zákazníků Čeprezy. Jejich osobní údaje a jejich citlivá data byla zcizena z interního systému...“ Napadne ho, že „jeho” společnost přijde o značnou část zákazníků, i těch, kterých se únik netýká. Čte dál…

„Povinnost vedení také spočívá v sledování a zajištění dodržování právních a regulačních požadavků...“ čte znovu a znovu v příručce. „Tak to jsem v hnoji. Co ještě jsem měl na starosti? Co ještě spadne na mou hlavu?“ Se zvyšující se panikou zjišťuje, že je zodpovědný nejen za nastartování (v tomto případě nenastartování) celého procesu, zajištění stanovení bezpečnostní politiky a cílů a sledování celého procesu, ale i za zajištění zdrojů a komunikace, koordinaci a za zajištění školení a vzdělávání. Celý se třese. Je mu jasné, že z tohoto se nevykroutí. „Školení a vzdělávání, školení a vzdělávání...“ – náhle si vzpomene na jeden hovor, který měl s externím expertem na kybernetickou bezpečnost a NIS2 – vzpomene si na druhou šanci, kterou nepřijal. „Kdybych...”

Haló, ještě je čas

Volající: „Dobrý den, pane řediteli, tady Tomáš Veselý z Blue Partners. Děkuji, že jste si na nás udělal čas. Jak jste se rozhodl ohledně naší nabídky auditu NIS2?“

Ředitel se snaží udržet zdvořilost, ale jeho cíl je se volajícího zbavit. „Dobrý den, pane ...Veselý, ano, prošel jsem si vaši nabídku,“ zaprášená příručka se válí pod stolem. „Ale nakonec jsme se rozhodli si toto zajistit interně. Vaše informace nám ale byly velmi užitečné, děkuji.“ Ještě něco rychle dodá, aby volajícího zcela utišil. „Děkuji za vaši návštěvu a za příručku k NIS2. Dost jste nám tím pomohli. Určitě zůstaneme ve styku...“

Volající na to odvětí: „Rozumím, děkuji za upřímnost. Naše služby také zahrnují školení zaměstnanců, což je klíčová součást při implementaci NIS2. Pokud budete mít zájem tak se ozvěte.”

„To zní zajímavě,” rozhodne ředitel celou situaci vyřešit neurčitým slibem a bryskním rozloučením. „Zvážím vaši nabídku a pokud se rozhodneme pro další kroky, určitě se ozvu. Nyní však musím skončit, mám další schůzku. Na shledanou...“

Ředitel si jasně vzpomíná, že se cítil jako vítěz – NIS2 byla pro něj jen nepříjemná formalita, kterou už (pro sebe) vyřešil tím, že celou agendu dedikoval manažerovi IT. „Kdybych jen...”

Podívá se na zem, na pohozenou příručku „NIS2 JEDNODUŠE“ a na otevřené stránce čte: „Pokuta může vystoupat až do výše 10 mil. € nebo 2 % z čistého obratu za poslední ukončené účetní období.“ čte a ví, že ne tak dávno, udělal hodně špatné rozhodnutí, které možná položí firmu, jistě však složí ho – srazí ho na kolena. A pak si vzpomněl na probíhající rozvodové řízení...

21.5.2025, 21:55

V kanceláři visí dým od kubánského doutníku, který byl určen jen pro oslavné příležitosti. Vzduch je prosycen pachem alkoholu a na podlaze jsou rozházené dokumenty. Z okna vidíme zdrcenou postavu ředitele s kufrem v ruce, jak mizí do dáli.

Co se stane, když se podcení kyberbezpečnost a směrnice NIS2.

Co se má stát se stane

Šachisté ukončí hru, jakmile je jasné, že, tam někde, pět tahů v budoucnu, je matová situace. Tato předvídavost, toto myšlení kupředu, je důležité nejen ve hře, ale i v reálném životě, obzvlášť v oblasti kybernetické bezpečnosti. V kontextu implementace směrnice NIS2 můžeme tuto lekci aplikovat přímo. Mnoho organizací a jejich vedení se může nacházet ve fázi, kdy mají k dispozici všechny potřebné informace a varování ohledně potřeby zajištění kybernetické bezpečnosti. Přesto se mnozí rozhodnou „zavřít před budoucností oči“. Ignorování dostupných indicií a varování může vést k situacím, kdy firma čelí obrovským finančním ztrátám, úniku citlivých dat a narušení důvěry klientů. Všechny tyto důsledky byly „předvídatelné“ a přitom byly ignorovány, až se staly neodvratitelnou realitou.