05. 03. 2024
Úvod do nákladů: Novela zákona o kybernetické bezpečnosti, sladěná s novou směrnicí NIS2, bude mít za následek náklady nezbytné k dosažení úrovně kybernetické bezpečnosti v rozsahu a kvalitě, jak je požadováno navrhovaným zákonem nebo směrnicí. Národní hospodářství bude čelit značným nákladům, zejména v souvislosti s rozšířením subjektů, na které se nyní vztahuje zákon o kybernetické bezpečnosti v důsledku směrnice NIS2.
PROCES FINANČNÍHO PLÁNOVÁNÍ ORGANIZACE:
Finanční plánování se u jednotlivých organizací liší, ale je nezbytné jej zahájit co nejdříve, aby byly zajištěny finanční prostředky na budoucí povinnosti podle navrhovaného zákona o kybernetické bezpečnosti. Organizace musí informovat své útvary finančního plánování o nutných investicích do bezpečnosti a zajistit, aby tyto náklady byly zahrnuty do rozpočtů a bylo možné splnit zákonné povinnosti ve stanovených termínech.
Vzhledem k nutnosti odhadnout finanční zátěž by organizace měly usilovat o přesné výpočty tím, že vyhodnotí chybějící bezpečnostní opatření a odhadnou jejich finanční náročnost.
KROKY PRO PLÁNOVÁNÍ NÁKLADŮ NA BEZPEČNOST V ORGANIZACI:
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) ve spolupráci s Ministerstvem vnitra vypracoval pokyn pro odhad nákladů spojených s realizací bezpečnostních opatření nařízených zákonem o kybernetické bezpečnosti. Účinnost tohoto nástroje byla ověřena pilotním dokončením vybranými organizacemi.
NÁKLADY NA ZAVEDENÍ NIS2:
Problémem při analýze finančních dopadů na regulované subjekty je nerovnoměrné rozložení nákladů na kybernetickou bezpečnost a informační asymetrie od subjektů k regulačnímu orgánu – NÚKIB. Proto pouze regulované organizace mohou přesně identifikovat své náklady na kybernetickou bezpečnost, což činí odhad nákladů centrálního orgánu náročným vzhledem k různým a neznámým faktorům, jako jsou např:
Aktuální stav kybernetické bezpečnosti v organizacích,
Požadovaná úroveň bezpečnosti každé organizace na základě významu její činnosti,
rozsah požadovaných opatření kybernetické bezpečnosti,
Rozlišení mezi náklady na kybernetickou bezpečnost a běžnými provozními náklady na IT,
Soulad s platným zákonem o kybernetické bezpečnosti,
Přesný počet regulovaných subjektů,
Proměnlivost nákladů v čase v důsledku makroekonomických faktorů a technologického pokroku.
Tyto proměnné se vážou na systém zajištění kybernetické bezpečnosti, ať už podle platného zákona, nebo celosvětově uznávaných norem kybernetické bezpečnosti.
KATEGORIE NÁKLADŮ NA TRANSPOZICI SMĚRNICE NIS2:
1. Bezpečnostní opatření ve veřejném sektoru.
2. Bezpečnostní opatření soukromých společností.
3. Náklady na provoz NÚKIB.
Z veřejných rozpočtů budou hrazeny provozní náklady NÚKIB a bezpečnostní opatření veřejného sektoru. Finanční odhad se týká především nákladů veřejných rozpočtů, které jsou odvozeny z výpočtů souvisejících se státním rozpočtem a metodik uvedených v různých zprávách a legislativních návrzích.
Z těchto zdrojů vyplývá odhadované rozpětí nákladů na zavedení a udržování bezpečnostních opatření, které se obvykle pohybuje mezi 800 000 Kč a 1 500 000 Kč na jeden zabezpečený systém, přičemž je třeba vzít v úvahu, že jedna služba může být zabezpečena více informačními systémy.
Tyto odhady nákladů ovlivní změny zavedené směrnicí NIS2 a výše uvedené proměnné. Počet systémů, které jednotlivé organizace udržují, významně ovlivní celkové požadavky na veřejné rozpočty.
Zdroj: NÚKIB