Článek přečtěte do 6 min.

NIS2: Jak proměnit pozornost představenstva v měřitelné snížení kybernetických rizik

Pohled společnosti Solutia na data z výzkumu Ivanti: Stavu kybernetické bezpečnosti 2025

Kybernetická bezpečnost má konečně své místo na nejvyšší úrovni. Data z nedávného výzkumu společnosti Ivanti s názvem: Stav kybernetické bezpečnosti z roku 2025 to potvrzují:

  • 89% organizací nyní diskutuje o kybernetické bezpečnosti na úrovni představenstva.
  • 81% organizací má alespoň jednoho ředitele s kybernetickými znalostmi.
  • 88% organizací zapojuje CISO (Chief Information Security Officer) do strategických schůzek.

Tato čísla signalizují významný pokrok. Naše zkušenosti ve společnosti Solutia však ukazují, že mnoho organizací se potýká s klíčovou výzvou: jak tuto pozornost představenstva přetavit v trvalé a měřitelné snížení rizik.

Data Ivanti odhalují jádro problému, které je kritické zejména ve světle směrnice EU NIS2: pouze 40% bezpečnostních týmů uvádí, že je expozice riziku manažerům sdělována „velmi efektivně“. Tato komunikační mezera představuje vážné riziko řízení s potenciálními právními a finančními důsledky.

Pojďme se hlouběji podívat na zjištění zprávy Ivanti, abychom zjistili, co nám říkají a jak tyto poznatky s naší expertízou v Solutii proměnit v řízení kybernetických rizik připravené na NIS2.

Proč NIS2 mění vše v oblasti řízení kybernetických rizik

NIS2 zásadně mění režim kybernetické bezpečnosti v EU: rozšiřuje dohled na 18 odvětví, zpřísňuje požadavky a, což je nejdůležitější, svěřuje přímou odpovědnost řídícímu orgánu. To znamená, že představenstva a vrcholoví vedoucí pracovníci musí aktivně schvalovat, dohlížet a zajistit vhodnost bezpečnostních opatření s ohledem na rizika a jejich účinnost v praxi.

Selhání má přímé důsledky: audity, závazné pokyny a správní pokuty až do výše 10 milionů eur nebo 2% celosvětového obratu. V závažných případech hrozí vedoucím pracovníkům osobní odpovědnost.

NIS2 neočekává pouze plnění kontrolního seznamu. Podle článku 21 se očekává, že organizace prokážou, že řídí rizika v celém životním cyklu (analýza, incident response, kontinuita, bezpečný vývoj, dodavatelský řetězec, řízení zranitelností, školení) způsobem, který je v souladu s nejmodernějšími technologiemi a je přiměřený dopadu na podnikání.

Zjištění Ivanti: Kde se představenstva potýkají s problémy – a co je v sázce

Když je riziko komunikováno pomocí technických metrik – počty CVE, míra záplatování nebo inventář nástrojů – bez jasné vazby na dopad na podnikání, představenstvo často přehlíží klíčové body, které jim CISO sděluje.

Zjištění Ivanti tento rozpor krystalizují: konverzace probíhá, ale jen menšina má pocit, že je expozice riziku sdělována způsobem, na který lze reagovat. Výsledek? Chybné stanovování priorit, neefektivní alokace rozpočtů a přetrvávající latentní rizika. To je přesně scénář, kterému se NIS2 snaží zabránit.

V Solutii víme, že když dojde k incidentu, náklady na provozní narušení, poškození pověsti a právní expozice obvykle převyšují jakoukoli pokutu. S NIS2 již neznalost není obhajobou; efektivní správa vyžaduje pochopení, komunikaci a dodržování pokynů.

Největší kybernetická rizika vyžadující pozornost představenstva

Výzkum Ivanti zdůrazňuje oblasti, ve kterých jsou organizace nejméně připravené a nejvíce vystavené riziku, což plně odpovídá našim poznatkům z praxe a očekáváním NIS2.

  1. Ransomware a umělá inteligence
  2. Technologie na konci životnosti (EOL)
  3. Zabezpečení dodavatelského řetězce
  4. Slepá místa (např. stínové IT)

Níže se podíváme na každé riziko optikou dat Ivanti a naší metodikou, jak se prakticky zlepšit v rámci požadavků NIS2.

1. Ransomware + umělá inteligence: Dokonalá bouře

Realita z Ivantiho výzkumu: Ransomware stále dominuje hrozbám v roce 2025. Více než třetina (38%) bezpečnostních profesionálů očekává, že AI útoky zhorší, ale pouze 29% se cítí velmi dobře připraveno reagovat.

Tato mezera ukazuje na nevyváženost: útočníci využívají automatizaci, zatímco obránci bojují s roztříštěnou telemetrií, manuálními procesy a neověřenými plány reakce.

Jak orgány dohledu posuzují připravenost (NIS2): Odolnost v rámci NIS2 nesmí být teoretická. Regulační orgány očekávají, že plány reakce a krizové plány jsou procvičeny, cíle kontinuity a obnovy jsou splněny v praxi a preventivní kontroly jsou sladěny s dopadem na podnikání. Při významném incidentu je standard jasný: rychlá včasná varování, soudržné následné kroky a viditelné vedení.

Doporučení Solutia pro zlepšení bezpečnosti:

  • Považujte ransomware za opakující se obchodní riziko. Nacvičte prvních 24–72 hodin s vrcholovým vedením, právním a komunikačním oddělením, abyste mohli rychle a obhajitelně rozhodovat.
  • Prokažte obnovitelnost: Nejen cyklické zálohování, ale schopnost obnovit prioritní služby v realistických omezeních. Propojte RTO/RPO (cílová doba a bod obnovy) přímo s příjmy a bezpečností.
  • Zaměřte se na expozici: Zajistěte kritická aktiva, snižte dosah útoku silnou autentizací a segmentací.

Odpověď pro představenstvo ve výsledcích: „Objednávka obnovena k proplacení do X hodin, potvrzeno čtvrtletně; komunikace se zúčastněnými stranami v souladu s postupným reportováním NIS2.“

2. Technologie na konci své životnosti (EOL): Časovaná bomba pro dodržování předpisů

Realita z Ivantiho výzkumu: Více než polovina (51%) organizací používá software s ukončenou životností (EOL) a každá třetí uvádí, že je jejich bezpečnost vážně ohrožena zastaralými technologiemi. Tyto zastaralé systémy vytvářejí systémové riziko.

Jak supervizoři posuzují připravenost (NIS2): NIS2 vyžaduje dodržování zásad vhodnosti a nejmodernějšího vývoje. To znamená, že musíte vědět, kde je EOL, mít plán na jeho vyřazení a zmírnit riziko po dobu, dokud je v provozu. Článek 21 ztěžuje obhajobu ponechání nepodporovaných technologií v produkčním prostředí bez zdokumentovaných a časově omezených zmírňujících opatření.

Doporučení Solutia pro zlepšení bezpečnosti:

  • Přeneste EOL z nevyřízených položek do expozice vlastněné představenstvem. Udržujte aktuální inventář, který označuje stav podpory na rok dopředu a slaďte cestu odchodu do důchodu s plánem majitelů firem.
  • Oceňte riziko: „Tato starší platforma generuje X% tržeb; prodloužení o devět měsíců přidává očekávanou ztrátu Y EUR, pokud ji neizolujeme a nebudeme monitorovat následujícím způsobem…“
  • Pokud je zpoždění nevyhnutelné, schvalte dočasnou izolaci sítě a posílené monitorování.

3. Zabezpečení dodavatelského řetězce: Váš nejslabší článek

Realita z Ivantiho výzkumu: Téměř polovina (48%) organizací neidentifikovala nejzranitelnější systémy třetích stran ve svém softwarovém dodavatelském řetězci. Mnozí se stále spoléhají na statické dotazníky, které neposkytují reálný obraz rizika.

Jak nadřízení posuzují připravenost (NIS2): Odpovědnost nekončí u vašich dveří. Nadřízení budou vyžadovat obhajitelnou metodu pro posouzení bezpečnosti dodavatelů, smluvní závazky a průběžný přehled o riziku partnerů. Článek 21 výslovně uvádí, že bezpečnost dodavatelského řetězce musí být založena na riziku a přiměřená.

Doporučení Solutia pro zlepšení bezpečnosti:

  • Škálování kontroly na riziko: Přizpůsobte hloubku bezpečnostních požadavků riziku, které dodavatel do vašeho prostředí vnáší. Kritické úlohy vyžadují mnohem přísnější kontroly.
  • Požadujte hmatatelné důkazy: Dostupnost SBOM (Software Bill of Materials), frekvenci oprav a zveřejňování zranitelností. Zajistěte tyto povinnosti ve smlouvách.
  • Nahraďte jednorázové průzkumy ukazateli téměř v reálném čase, jako je telemetrie zneužití a včasnost nápravy.

4. Slepá místa: Skryté riziko, které nemůžete zvládnout

Realita z Ivantiho výzkumu: Stínové IT, starší systémy a nespravovaná zařízení představují pro mnoho organizací trvalá slepá místa. Tyto mezery zpomalují reakci a vystavují organizace riziku selhání dodržování předpisů.

Jak dozorčí orgány posuzují připravenost (NIS2): Článek 21 očekává, že organizace budou řídit rizika v celém životním cyklu – včetně inventáře aktiv a řízení zranitelností. Slepá místa tento mandát podkopávají.

Doporučení Solutia pro zlepšení bezpečnosti:

  • Považujte viditelnost za prioritu správy a řízení, nikoli za technický detail.
  • Provádějte pravidelná hodnocení útočné plochy, integrujte IT a bezpečnostní data a používejte automatizaci.
  • Propojte mezery ve viditelnosti s dopadem na podnikání: „Chybí nám data o shodě s opravami pro X% koncových bodů, což ovlivňuje dodržování SLA a regulační postupy.“

Překlenutí komunikační mezery: Jak dosáhnout informovaného dohledu (NIS2)

Čtyřicet procent bezpečnostních týmů uvádí, že IT oddělení nerozumí toleranci rizik jejich organizace. Představenstvo nemůže alokovat zdroje bez jasného dopadu na podnikání.

Podle NIS2 musí řídící orgán vykonávat informovaný dohled. Náprava začíná tím, že CISO převede expozice do scénářů, které představenstvo uzná: „Pokud tyto systémy neaktualizujeme do 48 hodin, je velmi vysoká pravděpodobnost narušení bezpečnosti a zdravotní údaje všech našich klientů budou snadno získány. To poškodí naši značku, vyvolá soudní spory a na několik dní zastaví naše služby.“

Doporučení Solutia:

  1. Zaměřte se na výsledky: Měřte dobu do izolace, dobu do zotavení a změny v deseti největších expozicích, spíše než nezpracované počty záplat.
  2. Předkládejte cenovky: Připojte cenovku k technickému dluhu. „Ponechání tohoto klastru EOL o další čtvrtletí zachová funkčnost, ale přidá očekávanou ztrátu ve výši X EUR, pokud jej neizolujeme a nebudeme monitorovat.“
  3. Používejte Jazyk Správy a Řízení: Každý balíček pro představenstvo by měl odpovědět na tři jednoduché otázky:
    • Co se může pokazit, ale na čem skutečně záleží?
    • Co s tím děláme?
    • Jak poznáme, že to fungovalo?

Školení představenstva: Imperativ NIS2

NIS2 kodifikuje požadavek, aby řídící orgán získal pravidelné školení v oblasti kybernetické bezpečnosti.

Doporučení Solutia:

  • Proměňte školení v kompetenci: Používejte krátké, cílené moduly (např. prioritizace expozice, dohled nad dodavateli, mechanismy hlášení incidentů).
  • Procvičte rozhodnutí: Založte každou lekci na reálném scénáři (ransomware s AI, škodlivá aktualizace od dodavatele) a zaznamenejte konkrétní rozhodnutí, která musí ředitelé učinit.
  • Dokažte zlepšení: Přetvořte rozhodnutí do konkrétních vylepšení správy a řízení (aktualizované zásady, smluvní ustanovení), aby školení prokazovalo sledovatelné zlepšení, nikoli jen splnění úkolu.

Překlenout mezeru mezi záměrem a dopadem pro připravenost na NIS2

Data Ivanti ukazují povzbudivý záměr. Představenstva diskutují, rozpočty rostou. Záměr se ale nerovná dopadu. Tatáž data odhalují tvrdohlavá slepá místa (EOL, dodavatelský řetězec, slabá komunikace), která udržují podstatnou expozici.

NIS2 posouvá laťku od konverzace k odpovědnosti. Řídící orgány musí zajistit, aby opatření byla přiměřená, moderní a účinná – a musí to prokázat.

Organizace, které s naší pomocí překlenou komunikační mezeru, vyřadí starší systémy a nahradí dohled založený na dotaznících důkazy a nácvikem, zjistí, že jsou nejen v souladu s předpisy, ale také odolné v reálném světě.

Prozkoumejte s námi ve Solutii, jak přizpůsobit vaši strategii kybernetické bezpečnosti na základě dat Ivanti a zajistit plnou shodu s požadavky NIS2.