Evropská směrnice NIS2 a připravovaný český Zákon o kybernetické bezpečnosti přináší zcela nové povinnosti pro firmy v oblasti kritické infrastruktury, digitálních služeb a dalších klíčových odvětví. Povinnost vypracovat Business Impact Analysis (BIA) patří mezi ty nejdůležitější – a zároveň i nejvíce podceňované. Přitom právě BIA může být tím, co rozhodne o přežití firmy v krizové situaci.
Bez těchto parametrů nelze efektivně řídit rizika. Dnes se bez řízení rizik žádná firma neobejde a už vůbec ne pod regulací NIS2.
Nové požadavky často vnímáme jen jako byrokratickou zátěž. Ale dobře nastavená Business Impact Analysis je užitečnou investicí. Ukáže vám slabá místa, pomůže vám správně investovat do IT, nastavit realistický plán obnovy a připravit se na krizové situace dřív, než nastanou.
Připravujeme firmy na nové povinnosti podle NIS2 / nového zákona o kyberbezpečnosti či DORA. Pomůžeme vám nastavit procesy, vyhodnotit rizika a vytvořit Business Impact Analysis, která dává smysl – nejen regulatorně, ale i byznysově.
Chcete vědět víc? Ozvěte se nám. Rádi s vámi projdeme, co BIA znamená právě pro vaši firmu.
Autor: Tomáš Kubíček, Libor Šrám
NIS2 není jen o technologiích, někdy jde doslova o přežití
Zákon nově zavádí požadavky na řízení rizik, zajištění provozní kontinuity, plán obnovy po havárii nebo testování schopnosti zvládat incidenty. Jinými slovy: firmy musí být schopné nejen minimalizovat rizika kybernetickému útoku, ale v případě, že k útoku přesto dojde, tak se z něj rychle zotavit. A právě tady hraje Business Impact Analysis klíčovou roli.Co je Business Impact Analysis a proč by vás měla zajímat?
Business Impact Analysis (BIA) není jen analytická tabulka. Je to praktický kompas, který ukazuje:- které procesy jsou pro vaši firmu skutečně klíčové;
- jaký časový výpadek si ještě můžete dovolit;
- jaké dopady by měl výpadek na finance, reputaci a provoz.
Dobře zpracovaná BIA vám pomůže stanovit:
- RTO – Recovery Time Objective (jak rychle musíte proces obnovit);
- RPO – Recovery Point Objective (kolik dat můžete maximálně ztratit).
Bez těchto parametrů nelze efektivně řídit rizika. Dnes se bez řízení rizik žádná firma neobejde a už vůbec ne pod regulací NIS2.
Jaké scénáře by mohly nastat v praxi?
- Představte si, že dojde k útoku na banku, který vyřadí internetové bankovnictví. Klienti se nedostanou ke svým účtům, nemohou provádět platby ani spravovat své finance. S každou hodinou výpadku roste pravděpodobnost, že klienti začnou hromadně vybírat peníze, důvěra ve stabilitu banky klesá a problém se rychle dostává do médií. Bez předem definovaného RTO a RPO nemůže IT tým efektivně obnovit provoz a obchodní ztráty mohou jít do desítek milionů korun denně.
- Pokud v nemocnici dojde ke kybernetickému útoku, který odstaví informační systém, lékaři ztratí přístup ke zdravotnické dokumentaci, laboratorním výsledkům i medikaci pacientů. Ohrožení života pacientů je okamžité. BIA pomáhá nemocnici určit, které procesy a systémy (např. přístup k EKG záznamům, medikace, urgentní příjem) je nutné obnovit do několika minut, a které mohou počkat. Bez této analýzy by rozhodnutí padala naslepo – s fatálními následky.
- Pokud ve státním úřadu dojde k technické závadě, která vyřadí eGovernment služby – lidé nemohou podávat žádosti, firmy neobdrží potvrzení, úředníci nevidí spisy. BIA ukáže, že například daňová agenda nebo systémy pro výplatu sociálních dávek musí být dostupné téměř nepřetržitě, zatímco jiné procesy (např. správní archivace) zvládnou výpadek delší. Bez této znalosti hrozí ztráta důvěry občanů a možný kolaps služeb státu.
- Logistická společnost se stane v pátek večer obětí ransomware útok, který zašifruje celý dispečink a GPS systémy vozidel. Tisíce zásilek nemají plán cesty, skladníci nevědí, co expedovat, zákazníci volají a nikdo jim nedokáže odpovědět. BIA ukáže, že i 3–4hodinový výpadek v tomto čase může znamenat zpoždění tisíců dodávek, penále od obchodních partnerů a poškození reputace. Firma, která zná své kritické procesy, má připravený plán a může obnovit aspoň částečný provoz včas.
BIA není jen papír pro regulátora - je to pojistka vašeho byznysu
Nové požadavky často vnímáme jen jako byrokratickou zátěž. Ale dobře nastavená Business Impact Analysis je užitečnou investicí. Ukáže vám slabá místa, pomůže vám správně investovat do IT, nastavit realistický plán obnovy a připravit se na krizové situace dřív, než nastanou.Zákon vás asi donutí, ale vy byste z toho měli chtít i něco vytěžit
Nečekejte, až vám nový zákon přistane na stole s varováním o pokutách. Pusťte se do toho už teď – a ne kvůli paragrafům, ale kvůli vlastnímu byznysu. BIA vám pomůže:- ochránit to nejcennější, co ve firmě máte;
- zrychlit obnovu po výpadku;
- přesvědčit zákazníky, partnery i pojišťovny, že to máte pod kontrolou.
Připravujeme firmy na nové povinnosti podle NIS2 / nového zákona o kyberbezpečnosti či DORA. Pomůžeme vám nastavit procesy, vyhodnotit rizika a vytvořit Business Impact Analysis, která dává smysl – nejen regulatorně, ale i byznysově.
Chcete vědět víc? Ozvěte se nám. Rádi s vámi projdeme, co BIA znamená právě pro vaši firmu.
Autor: Tomáš Kubíček, Libor Šrám