Kybernetická bezpečnost není jen téma pro IT specialisty. V energetice je dnes naprosto zásadní. S rostoucí digitalizací a automatizací totiž roste i zranitelnost. Útok nemusí znamenat jen ztrátu dat. Může ochromit reálný provoz. A právě proto přichází nová evropská regulace, směrnice NIS2.
Zúčastnili jsme se odborného webináře pořádaného advokátní kanceláří Doucha Šikola advokáti, který se věnoval dopadům této směrnice na energetiku. Cílem bylo pochopit, co NIS2 znamená v praxi, koho se týká, jaké přináší povinnosti a proč je důležité začít se připravovat už teď.
Proč kybernetická bezpečnost? Proč právě teď?
Webinář začal tím nejdůležitějším. Proč vlastně kybernetickou bezpečnost vůbec řešit? V energetice už nejde jen o ochranu dat. Moderní technologie propojují informační systémy s fyzickým světem. Výpadek nebo manipulace se zařízením může mít okamžitý dopad na dodávky, bezpečnost i kontinuitu provozu.
Zvlášť u obnovitelných zdrojů energie se ukazuje, že zranitelné mohou být i samotné technologie. Například střídače připojené k internetu, systémy pro vzdálené řízení výkonu nebo platformy pro řízení agregace. Právě decentralizace a digitalizace dělá z těchto zařízení ideální cíl. Napadením jednoho prvku může útočník narušit provoz celé lokality nebo části distribuční sítě.
Koho se směrnice týká? Možná i vás
Jedním z hlavních témat bylo, koho se nová směrnice vlastně týká. Odpověď je širší, než by se mohlo zdát. Do působnosti NIS2 spadají nejen klasické energetické podniky, ale i mnohé další subjekty, které se dosud regulaci vyhýbaly.
Konkrétně jde například o výrobce elektřiny, agregátory, provozovatele dobíjecích stanic, poskytovatele flexibility, provozovatele akumulace energie nebo firmy v oblasti teplárenství a plynárenství. Rozhodující není jen obor činnosti, ale i velikost podniku a jeho význam pro fungování společnosti. Posuzuje se podle doporučení Evropské komise a vyhlášek Národního úřadu pro kybernetickou a informační bezpečnost. Regulace tak dopadne i na řadu menších firem, které se dosud považovaly za „mimo hru“.
Nové povinnosti a kdo je zodpovědný
Směrnice přináší konkrétní a časově ohraničené povinnosti. Prvním krokem je samoposouzení. Každá firma si musí vyhodnotit, zda provozuje službu, která spadá pod regulaci.
Pak následuje ohlášení služby na NÚKIB, stanovení rozsahu řízení kybernetické bezpečnosti a zavedení opatření podle zákona o kybernetické bezpečnosti. Celý proces má jasný rámec. Na ohlášení je šedesát dnů, implementace opatření musí proběhnout nejpozději do jednoho roku od registrace.
Důležité ale je, že zodpovědnost nově nese vedení firmy. Nejde jen o technickou otázku. Členové vedení budou povinni opatření schvalovat, dohlížet na jejich realizaci, absolvovat školení a v případě porušení povinností mohou nést i osobní odpovědnost. To je zásadní změna, která dává kybernetické bezpečnosti zcela novou váhu.
Co zaznělo v diskusi
Webinář zahrnoval i diskusi s účastníky. Padla řada praktických otázek. Například jestli firmy musí mít vlastní kybernetický tým. Odpověď zněla, že nemusí. Ale musí být schopny zajistit opatření, ať už vlastními silami nebo prostřednictvím dodavatelů.
Další otázka se týkala menších provozů. Jestli se jich regulace vůbec dotkne. Zaznělo, že ano. Pokud splní buď velikostní nebo významová kritéria, bude se jich týkat stejně jako velkých provozovatelů.
Zazněla také obava, co dělat, když firma zatím nemá žádné procesy ani zkušenost s touto oblastí. Odpovědí bylo, že právě pro takové firmy je zásadní začít včas. Mapovat současný stav, analyzovat rizika a připravit si realistický plán zavádění opatření.
Čas běží
V tuto chvíli je zákon o kybernetické bezpečnosti stále v legislativním procesu. Účinnost se očekává v srpnu 2025. To se může zdát daleko, ale ve světle všech kroků, které budou potřeba, to rozhodně není mnoho času. Firmy budou muset provést audit, proškolit zaměstnance, zavést procesy a zřejmě i upravit smluvní vztahy s dodavateli. To vše zabere měsíce.
Co si odnášíme
Účast na webináři nám potvrdila jedno. Směrnice NIS2 není formální cvičení. Je to změna, která se skutečně dotkne fungování firem v energetice. Nezáleží, jestli vyrábíte elektřinu, provozujete stanici, řídíte spotřebu nebo skladujete energii. Pokud vaše činnost splní podmínky, budete muset jednat.
Kyberbezpečnost už není doplňkový požadavek. Je to součást odpovědného provozu. A čím dřív se začnete připravovat, tím menší bude stres i náklady. NIS2 nevnímáme jako problém. Vnímáme ji jako šanci postavit bezpečnost na pevné základy.
Zdroj: redakce
