Richard Otevřel

Petr Hrnčíř

„Kyber­bez­peč­nost není jen o tech­no­lo­gii. Ta nám sice dává mož­nost se chrá­nit, ale je tu řada zá­kon­ných před­pi­sů, které nám uklá­da­jí po­vin­nost něco do­dr­žo­vat a řada dal­ších práv­ních kro­ků sta­no­vu­jí­cích, jak na kyber­ne­tic­ký útok re­ago­vat. Na to firmy často za­po­mí­na­jí, nebo o tom ani neví,“ říká Richard Ote­vřel z advo­kát­ní kan­ce­lá­ře Noerr. „Vše úzce sou­vi­sí s cel­ko­vým com­pli­ance ma­nage­ment sys­té­mem, bez které­ho se firmy obe­jít ne­mo­hou a který musí řešit právě i legi­sla­tiv­ní po­ža­dav­ky týka­jí­cí se kyber­bez­peč­nos­ti. Firmy si často ani neuvědomují, že se to týká i jich – kyberhrozbám je přitom vystavena každá společnost, nezávisle na velikosti nebo předmětu podnikání,“ dodává Petr Hrnčíř rovněž z advokátní kanceláře Noerr.

Závislost na IT a online řešeních neustále narůstá a zločinci toho dobře využívají. Zatímco ještě před několika lety byly nepřítelem zločinecké skupiny snažící se o získání výkupného, od začátku války na Ukrajině a dalších geopolitických změn se okruh rozšířil i o subjekty, které čistě chtějí ničit, tedy destabilizovat určitý trh nebo oblast. Zatímco dříve tak byly primárním cílem velké firmy ochotné platit výkupné, dnes se jedná prakticky o jakoukoliv organizaci. Už tak neplatí tradiční vnímání, že kyberbezpečnosti se náležitě věnují jen tradiční rizikové obory typu finančních institucí anebo firem působících v rámci kritické infrastruktury – potřebu chránit se mají průmyslové podniky či logistické obory, u nichž je elektronizace již neodmyslitelnou součástí dalšího úspěšného fungování v byznysu. „Dramatický nárůst počtu cílů se ale plně neprojevil v tom, co firmy a instituce za opatření dělají. Zatímco nechat správce IT zlepšit kybernetické zabezpečení bývá obvyklým krokem, v související právní oblasti organizace naprosto selhávají,“ říká Richard Otevřel.

„Právní“ prevence kybernetických útoků spočívá v přípravě plánu, revizi smluv a nastavení plnění a zodpovědností, zajištění vhodného pojištění, nebo kontroly spravovaných dat a povinností směrem k zákazníkům a dodavatelům. Důležitá je ale i reakce na samotný útok, protože zde již nastává celá řada povinností – nahlášení úniku dat Úřadu na ochranu osobních údajů nebo samotného bezpečnostního incidentu Národnímu úřadu pro kybernetickou a informační bezpečnost. Může zde být relevantní i odpovědnost za určité kroky vůči dodavatelům anebo naopak těchto dodavatelů samotných, které by měla mít firma pod kontrolou.

„Subjektů spadajících pod příslušné regulace neustále narůstá, proto je třeba být na podobné situace připraven. Je třeba znát odpovědi na otázky, zda se to dotklo práv a smluv s našimi zákazníky, nebo koho jsme povinni informovat v našem dodavatelském řetězci. Pokud dopředu víme, jak postupovat, tak to celou nepříjemnou situaci usnadní. Navíc se lze následně poučit, jak například uzavírat smlouvy do budoucna,“ uzavírá Petr Hrnčíř.