- Hana Skoupá
Nový Zákon o kybernetické bezpečnosti přináší dvě úrovně povinností – vyšší a nižší režim. A právě ty určují, jak přísná pravidla v kyberbezpečnosti budete muset dodržovat. Rozdíl mezi režimy není formalita. Ve vyšším režimu se od vás očekává víc – jak v zabezpečení, tak v odpovědnosti. Klíčové je proto správně určit, kam spadáte. A to není jen otázka oboru nebo velikosti organizace, ale i o tom, jaké služby poskytujete.
Proč se režimy zavádí?
Ne všechny organizace a jimi provozované služby mají stejný dopad na společnost – myšleno na stát. Výpadek v poskytování služby má různá rizika a dopady v závislosti na velikosti a významnosti organizace. Proto zákon rozlišuje dva režimy povinností:
- Vyšší režim platí pro subjekty, jejichž činnost je považována za kritičtější – například z pohledu služeb veřejnosti nebo závislosti dalších organizací.
- Nižší režim se týká organizací, které sice patří mezi regulované subjekty, ale dopad jejich případného výpadku je nižší.
Kdo rozhodne, kam spadáte? Z velké části vy sami – prostřednictvím tzv. samoidentifikace a následné registrace regulovaných služeb. Tu je potřeba provést do 60 dnů od účinnosti zákona.
Jak zjistit, kam spadáte?
Základní otázka, kterou si musíte položit: „Poskytuji regulovanou službu?“ Pokud zjistíte, že ano, bude rozhodující, jestli ji budete poskytovat v režimu vyšších nebo nižších povinností. Sami si ale vybrat nemůžete.
Nový zákon se vás bude týkat, pokud působíte v jednom z regulovaných odvětví a poskytujete regulovanou službu (blíže jsme se věnovali v předchozím článku). U režimu bude záležet na tom, v jakém odvětví působíte, jakou službu poskytujete a jak velká je vaše organizace. Roli hraje i to, jestli jste například součástí důležitého dodavatelského řetězce.
Důležité je také vědět, že nemůžete spadat do dvou režimů, ale můžete poskytovat více regulovaných služeb. Pokud poskytujete více regulovaných služeb a některá z nich spadá do vyššího režimu, uplatní se automaticky tento vyšší režim na všechny další služby, bez ohledu na to, že by samy o sobě spadaly do nižšího režimu.
Download e-book
Jak se liší úrovně povinností?
Oblast | Nižší režim | Vyšší režim |
|---|---|---|
Role a odpovědnosti | Určení zodpovědné osoby za kybernetickou bezpečnost | Jasně definované role (manažer, architekt a auditor kybernetické bezpečnosti + garanti aktiv) |
Risk management | Vyhodnocení hlavních rizik | Pravidelná analýza, dokumentace |
Opatření | Security measures | Organizational and technical measures |
Incidenty | Povinnost hlásit významné | Povinnost hlásit + plán řízení incidentů |
Events, | Základní proškolení | Pravidelné školení všech relevantních osob |
Documentation | Udržovat přiměřenou dokumentaci | Vedení a aktualizace podrobné dokumentace |
Audit a monitoring | Doporučený monitoring | Povinný monitoring a řízení zranitelností |
Dodavatelský řetězec | Doporučená opatření | Povinnosti i vůči dodavatelům |
Co z toho plyne?
Nižší režim neznamená, že se nic neděje. I zde je potřeba zavést opatření, vést dokumentaci a stanovit odpovědnosti. Cílem nižšího režimu je ale usnadnit menším a středním firmám splnění požadovaných opatření – tak, aby chránily to podstatné, a přitom nebyly zahlcené zbytečnou byrokracií. Aby měly nějaký minimální bezpečnostní standard.
Vyšší režim je náročnější. Vyžaduje detailní řízení aktiv a rizik, systematický monitoring, pravidelné audity a silnější technická opatření. V praxi to znamená větší zátěž na procesy, odpovědnosti i rozpočet. Výhodou je, že většina firem v tomto režimu už bezpečnost nějak řeší – nový zákon spíš nastavuje mantinely a formalizuje, co má smysl dělat.
Rozdíl mezi nimi ale není propastný. Základ je stejný – chránit klíčové systémy a data, rozumět rizikům a mít plán, když se něco stane. Liší se především hloubka, formálnost a rozsah požadavků.
Jak postupovat?
Self-identification: Zjistěte, jestli se vás nový zákon týká a do jakého režimu pravděpodobně spadáte.
Reporting regulated services do 60 dní od účinnosti zákona na Portále NÚKIB.
Current State Analysis: Zmapujte si, co už máte nastavené, co vám chybí a co bude potřeba upravit nebo doplnit, abyste splnili nové požadavky.
Implementation of Measures: Zaveďte potřebná bezpečnostní opatření a procesy.
Nepodceňte dokumentaci. Právě ta bude důkazem, že pravidla dodržujete.
FAQ k vyššímu a nižšímu režimu
Co je to vyšší a nižší režim podle Zákona o kybernetické bezpečnosti?
Vyšší režim označuje kategorii, ve které jsou subjekty považovány za zvlášt důležité. Tyto organizace musí plnit přísnější bezpečnostní požadavky podle nového Zákona o kybernetické bezpečnosti, jelikož jejich činnost má zásadní dopad na bezpečnost a fungování společnosti.
Nižší režim definuje základní bezpečnostní povinnosti pro poskytovatele regulovaných služeb, kteří nejsou zařazeni do vyššího režimu. Zaměřuje se na minimální úroveň ochrany proti kybernetickým hrozbám a splnění základních bezpečnostních opatření.
Jak zjistím, zda spadám do vyššího nebo nižšího režimu?
Zařazení do režimu vychází z relevant decree. Rozhodující jsou kritéria jako velikost organizace, význam poskytované služby a další faktory uvedené ve vyhlášce.
Jaké jsou hlavní rozdíly mezi vyšším a nižším režimem?
Vyšší režim stanovuje podstatně přísnější povinnosti s důrazem na detailní bezpečnostní opatření a komplexní procesy řízení rizik, zatímco nižší režim se zaměřuje na základní ochranná opatření, která jsou v dnešní době považovány za bezpečnostní minimum.
Může se režim organizace v čase změnit?
Ano, pokud se změní okolnosti. Například vaše organizace poroste a začne splňovat kritéria vyššího režimu, přechází do této kategorie a musí zavést přísnější bezpečnostní opatření podle Zákona o kybernetické bezpečnosti.
Jaká opatření vyžaduje vyšší režim?
Vyšší režim vyžaduje, aby organizace implementovala komplexní organizační a technická opatření. Přehled opatření a vysvětlení jejich obsahu najdete ve vyhlášce o bezpečnostních opatřeních pro režim vyšších povinností. Patří sem například:
Organisational measures
- Risk management
- Supplier management
- Human resource security
- Řízení změn
- Akvizice, vývoj a údržba
- Access control system
- Zvládání kybernetických bezpečnostních událostí a incidentů
- Business continuity management
- Provádění auditu kybernetické bezpečnost
Technical measures
- Zaznamenávání událostí
- Vyhodnocování kybernetických bezpečnostních událostí
- Application security
- Cryptographic algorithms
- Zajišťování dostupnosti regulované služby
- Zabezpečení průmyslových, řídících a specifických technických aktiv
Jeden z hlavních rozdílů je v tom, že ve vyšším režimu musí organizace jmenovat více bezpečnostních rolí, plnit více opatření ve větším detailu a hlásit všechny relevantní incidenty, nikoliv jen ty s významným dopadem.
Jaká opatření vyžaduje nižší režim?
Nižší režim vyžaduje, aby organizace splňovala security measures v, která uvádí vyhláška o bezpečnostních opatřeních pro nižší režim. Jedná se například o tyto oblasti:
- systém zajišťování minimální kybernetické bezpečnosti,
- požadavky na vrcholné vedení,
- řízení aktiv,
- bezpečnost lidských zdrojů,
- řízení kontinuity činností,
- řízení přístupu,
- řízení identit a jejich oprávnění,
- detekce a zaznamenávání kybernetických bezpečnostních událostí,
- řešení kybernetických bezpečnostních incidentů,
- bezpečnost komunikačních sítí,
- aplikační bezpečnost a kryptografické algoritmy.
Jaké incidenty se musí hlásit ve vyšším a nižším režimu?
In the higher regime je nutné hlásit každý incident, který má původ v kybernetickém prostoru a nelze u něj vyloučit úmyslné zavinění. Incidenty způsobené běžným provozem se nehlásí. Uvedené vymezení z povinnosti hlášení vyřazuje incidenty, které z povahy věci nespadají do působnosti NÚKIB.
Nižší režim je v tomto mírnější a Přes portál NÚKIB se hlásí „jen“ incidenty, které mají původ v kybernetickém prostoru, mají významný dopad (dle kritérií vyhlášky pro nižší režim), a nelze u nich vyloučit úmyslné zavinění.
Jaké bezpečnostní role jsou vyžadovány ve vyšším a nižším režimu?
Vyšší režim vyžaduje obsazení rolí jako manažer kybernetické bezpečnosti, architekt kybernetické bezpečnosti a auditor kybernetické bezpečnosti. K tomu je také potřeba určit garanty aktiv. V lower regime stačí určit osobu pověřenou kybernetickou bezpečností.
