Kybernetická bezpečnosť stojí medzi rýchlou inováciou a lavínou regulácií. Nestačí riadiť sa strachom ani iba „odháknuť“ compliance; rozhodujúca je zodpovedná, dlhodobá stratégia vedená z vrchu. A práve tú dnes formujú nové pravidlá od NIS 2 cez GDPR až po AI Act.
Od strachu k stratégii
Firmy zvyknú reagovať tromi spôsobmi: strachom, čistým plnením compliance alebo zodpovedným prístupom. Prvé dve sú reaktívne a formálne, tretia je o premyslenej stratégii, plánovaní a kontinuite podnikania. Zodpovednosť leží na líderstve: musí rozhodnúť o prioritách, zdrojoch a o tom, že bezpečnosť nie je brzda inovácie, ale jej predpoklad.
Dobrá ilustrácia prichádza z praxe: na školení veľkej firmy dostali manažéri otázku, ako dlho vedia prežiť bez výroby. Odpovede kolísali od dvoch týždňov po šesť mesiacov, čo ukazuje, že bez jednotného pohľadu vedenia je ťažké plánovať obranu aj obnovu. Jasná stratégia a spoločné východiská sú preto kľúčové.
Regulácie: viac než len NIS 2
Do bezpečnosti dnes vstupuje množstvo rámcov: okrem NIS 2 sú to GDPR, DORA, Cyber Resilience Act a AI Act. AI sa prijala rekordne rýchlo, no regulácia prichádza neskôr, preto vznikajú napätia medzi inováciou a pravidlami. Riešením nie je „papierové“ plnenie, ale jednotný rámec vo firme a merateľné výsledky, ktoré umožnia bezpečne inovovať.
Nové karty mieša aj „Digital Omnibus“ z 19. 11., ktorý má učesať prebytok regulácií. Prinesie úpravy definícií v GDPR a najmä jednotný „single entry point“ na nahlasovanie incidentov pre GDPR, NIS 2, CER, DORA a eIDAS; jeho vytvorenie je v kompetencii ENISA. Komplikáciu predstavuje aj to, že NIS 2 je smernica, takže každý štát EÚ ju implementuje inak — nadnárodné skupiny s dcérami v rôznych krajinách to musia zahrnúť do plánovania.
Bezpečnosť ako proces, nie projekt
Kybernetická bezpečnosť nie je cieľový míľnik, ale spôsob riadenia firmy. Po „implementácii“ sa cesta len začína: treba budovať kultúru bezpečnosti, pravidelne vyhodnocovať riziká a zlepšovať postupy. Mnohé tímy pritom potrebujú podporu vedenia, aby mali mandát aj prostriedky udržiavať obranu v čase.
Dôsledky zlyhaní presahujú jednotlivé firmy. V prípade Jaguar Land Roveru sa v Británii odhaduje dopad kybernetického incidentu na ekonomiku na 2,5 až 2,75 miliardy libier, čo už vplýva na HDP. Práve preto musí líder rozhodnúť o investíciách, plánovaní a jasných pravidlách reakcie na incidenty — od hlásenia cez jednotný bod až po obnovu výroby. Strategický prístup je dnes najlepšia poistka voči neistote aj zmenám v legislatíve.