Nový zákon o kybernetické bezpečnosti dle NIS2

Nový zákon o kybernetické bezpečnosti, který vychází z evropské směrnice NIS2 zavádí pro tisíce českých společností řadu nových povinností v oblasti kybernetické bezpečnosti. Přísnější pravidla a nové požadavky dopadnou na všechny, kdo budou určeny jako regulované subjekty.

Se změnami bude třeba počítat v roce 2025, ale vše můžete nechat na nás – provedeme Vás celým procesem zavedení kyberbezpečnosti ve Vaší společnosti. Od úvodní analýzy, přes implementaci, audit, po outsourcing bezpečnostních rolí. Zkrátka se postaráme, aby pro Vás nebyla kybernetická bezpečnost strašákem, ale abyste všemu porozuměli, měli své podnikání v bezpečí a v souladu se zákony.

Koho se nový zákon dle NIS2 týká?

Nové předpisy o kybernetické bezpečnosti dle NIS2 přinášejí nové povinností na velký počet subjektů, kterých se dosud netýkaly. Dopadat budou na všechny, kdo splní kritéria tzv. „regulované služby“.

Typicky se jedná o velikost („velké“ a „střední“ podniky podle doporučení Evropské Komise) a konkrétní aspekty daného odvětví – počet zákazníků u telekomunikací, licence od Energetického regulačního úřadu v energetice nebo počet lůžek akutní péče ve zdravotnictví.

I když nebudete poskytovatelem regulované služby, můžete spadat pod výjimky určené Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB). A pak se Vás povinnosti v oblasti kybernetické bezpečnosti budou týkat také. Mezi takto ovlivněné oblasti bude patřit například poskytování některých IT služeb, potravinářství, výroba, chemický průmysl a mnohé další.

  • Návrh nové legislativy zavádí pro cílové subjekty řadu nových povinností. Mezi ty nejvýznamnější patří například:
  • Samostatně identifikovat, jestli je společnost poskytovatelem regulované služby a spadá pod nový zákon.
  • Odpovědnost vedení společnosti za přijatá opatření v oblasti kyberneticko-informační bezpečnosti.
  • Povinnost vedoucích orgánů účastnit se pravidelných školení.
  • Povinnost zavádění bezpečnostních opatření.
  • Provádění protiopatření a mnohá další.
  • Součástí opatření by pro některé subjekty mělo být také posouzení a řízení bezpečnostních rizik vyplývajících z dodavatelských řetězců a dodavatelských vztahů.

Vztahují se na Vaši společnost změny, které přináší směrnice NIS2?

Zjistíte sami v našem průvodci.

Přejít na aplikaci urči.se

Jaké povinnosti přinese nový kyberzákon?

Povinnosti vrcholného vedení

Cílem této povinnosti je, aby osoby v rozhodujících pozicích chápaly důsledky svých rozhodnutí a jejich dopad nejen do kybernetické bezpečnosti společnosti, ale jejího celkového fungování. Manažeři se tak budou muset seznamovat s klíčovými dokumenty, anebo absolvovat pravidelná školení.

Za opakované porušení povinností může být výkon řídící funkce člena vrcholového vedení pozastaveno.

Bezpečnost lidských zdrojů

V oblasti kybernetické bezpečnosti je potřeba zaměstnance hlavně vzdělávat. A zaznamenávat to, že jste je vzdělávali. Sebelepší (a drahé) technické řešení kybernetické bezpečnosti může selhat v případě, že vaši zaměstnanci nebudou řádně vyškoleni a otevřou phishingový e-mail.

Plány vzdělávání, školení samotná a jejich evidence jsou hlavními povinnostmi v této oblasti.

Řízení přístupu

K důležitým informacím vaší společnosti by se měly dostat pouze pečlivě vybrané osoby. K tomuto účelu slouží zakládání a evidence uživatelských účtů a řízení jejich přístupů. Zaměstnanec na HR by neměl mít přístup k obchodním datům společnosti, na rozdíl od ekonoma. A zase naopak – ekonom by neměl mít přístup k údajům o zaměstnancích.

Řízení kontinuity činností

Kontinuita činností vaší společnosti pomůže domyslet důsledky kybernetických útoků a jiných pohrom. Jaká by byla reakce v případě výpadku životně důležitého informačního systému? Jak rychle může být obnoven? Kolik mě bude stát, pokud budu chtít, aby to bylo rychleji? Znát odpovědi na tyto a navazující otázky je lepší dřív, než se incident stane. V tom okamžiku je zásadní mít všechny postupy předem promyšlené a sepsané – k tomu slouží řízení kontinuity činností.

Bezpečnost komunikačních sítí

Bezpečnost komunikační sítě zajistíte například oddělením jednotlivých částí sítě pomocí logických celků. Neplecha pak zůstaneme jenom v dílčí části a bude tím ukončena.

S bezpečností komunikační sítě souvisí také vzdálené přístupy a zavedení VPN. S jeho implementací souvisí možnost ověřit totožnost přistupujících pomocí MFA a vést jejich evidenci.

Kryptografické algoritmy

Cílem užívání kryptografických algoritmů je zabezpečit komunikaci, technická aktiva a ostatní nástroje. Důležité je například vhodné zvolení komunikačních protokolů a stanovení pravidel pro nakládání s kryptografickými algoritmy.
NÚKIB tuto oblast aktivně sleduje a informuje o ní. Na jeho úřední desce je umístěn dokument „Minimální požadavky na kryptografické algoritmy“. Když se jej budete držet, neuděláte chybu.

Aplikační bezpečnost

U každého užívaného software je důležité, zda jej výrobce či dodavatel podporuje. U těch nepodporovaných totiž není možné zajistit jejich bezpečnost. V rámci aplikační bezpečnosti je například požadováno vedení seznamu nepodporovaného SW a dalších aktiv a skenování zranitelností interní sítě.

Řízení aktiv

Aktivum je vše, co má pro Vaši společnost hodnotu. Jedná se zpravidla o informace, systémy nebo procesy.

Když aktiva ohodnotíte, budete vědět, která jsou pro Vás nejdůležitější, na čem závisí jejich fungování a kdo je za ně odpovědný.

Řízení rizik

Řízení rizik se táhne jako červená stuha celou kybernetickou bezpečností – jedná se o aktivitu, kterou je pravidelně nutné opakovat. Společnost musí stanovit metodiku, ve které popíše, jak hodnotí rizika, identifikuje hrozby a zranitelnosti. Cílem je, aby bylo jasné, jak rizika řídit do budoucna.

Další bezpečnostní opatření se na Vás budou vztahovat podle toho, zda se svým podnikáním spadáte do nižšího, nebo vyššího režimu povinnosti. Chcete zjistit, do jakého režimu spadáte? Využijte našeho průvodce Urči.se ↗

Normy kybernetické informační bezpečnosti

Zákon České Republiky

Nový zákon o kybernetické bezpečnosti

ÚČINNOST

2025

Vztahuje se na

Poskytovatele regulované služby.

Hlavní povinnosti

  • Určení regulované služby samoidentifikace a registrace prostřednictvím portálu NÚKIB.
  • Zavedení opatření na zajištění kybernetické bezpečnosti (v režimu vyšších, nebo nižších povinností).

Nařízení Evropské Unie

DORA

ÚČINNOST

17. ledna 2025

Vztahuje se na

Finanční subjekty.

Hlavní povinnosti

  • Zavedení bezpečnostních opatření na zajištění digitální provozní odolnosti.
  • Řízení rizik v oblasti informačních a komunikačních technologií (IKT).

Mezinárodní a mezioborový standard pro systém řízení bezpečnosti informací (ISMS)

ISO 27001

ÚČINNOST

Od roku 2005 (poslední verze standardu je z roku 2022).

Vztahuje se na

Všechny organizace, které chtějí chránit svá aktiva.

Hlavní povinnosti

  • Zavedení opatření na zajištění bezpečnosti informací (certifikace).
  • Řízení aktiv a rizik. Řízení kontinuity činností.
  • Incident management.

Evropský standard, mechanismus hodnocení a výměny informací pro automobilový průmysl

TISAX®

ÚČINNOST

Od roku 2017 (verze 5.1 dotazníku VDA ISA z roku 2022 je povinná pro všechna nová hodnocení TISAX).

Vztahuje se na

Organizace v automobilovém průmyslu.

Hlavní povinnosti

  • Splnění specifických bezpečnostních požadavků pro úspěšnou certifikaci TISAX®.
  • Hodnocení pro získání certifikace TISAX® probíhá jednou za 3 roky.

Často se ptáte

Povinností každé členské země Evropské unie je „přijmout“ vydané směrnice do svého právního řádu – vydat k nim příslušný zákon. NIS2 je zkrácený název evropské směrnice, která řeší otázku kybernetické bezpečnosti. A nový zákon o kybernetické bezpečnosti je způsob, kterým je směrnice NIS2 v Česku přijímána.

Proto nový zákon o kybernetické bezpečnosti upravuje povinnosti subjektů v oblasti zajišťování bezpečnosti informačních systémů a sítí, klade povinnosti na vedení společnosti i její zaměstnance, zavádí povinnost řídit aktiva a rizika a řadu dalších. Vše s cílem zvýšit odolnost společností proti kybernetickým útokům.

Podle původních předpokladů měl být zákon přijat do konce roku 2024, ale vzhledem k vývoji legislativního procesu se očekává jeho přijetí v roce 2025.

Nové povinnosti, které zákon podle směrnice NIS2 zavádí, budou účinné rok po jeho účinnosti, tedy v roce 2026. S přípravou na změny však doporučujeme začít co nejdříve – zejména kvůli čím dál tím většímu rozšíření kybernetických hrozeb, nedostatku odborníků a potřebě racionálního plánování výdajů společnosti.

Nový zákon o kybernetické bezpečnosti významně rozšiřuje okruh subjektů. Odhaduje se, že nové povinnosti dopadnou na tisíce českých společností, kterým budou za nedodržení pravidel hrozit přísné sankce.

Platit budou pro poskytovatele regulovaných služeb, tedy pro společnosti spadající do 22 vybraných odvětví. Jedná se například o energetiku (elektřina, pohonné hmoty, plyn, vodík i teplo), vodní hospodářství (vodovody a kanalizace) nebo zdravotnictví. Kromě toho se povinným subjektem můžete stát, pokud budete učeni NÚKIBem v rámci stanovených výjimek. Nebudete sice splňovat kritéria pro poskytovatele regulované služby, ale přesto budete muset povinnosti plnit.

Zda bude vaše společnost spadat pod nový zákon si můžete jednoduše ověřit v naší aplikaci Urči.se.

Vyšší a nižší režim povinností si můžete představit jako dva stupně obtížnosti. S nižším režimem se pojí méně povinností, rozsah vyžadované dokumentace je sotva poloviční a je třeba obsadit jednu bezpečnostní roli. Pokud máte šikovné IT, možná nebudete muset ani přijímat nového člověka. Teoreticky jen potřebujete někoho, kdo vám vysvětlí obsah nových povinností.

Společnosti spadající pod režim vyšších povinností oproti tomu musí obsadit minimálně tři bezpečností role, řídit rizika, spravovat a pravidelně aktualizovat více než 20 dokumentů, zavést a udržovat systémy pro monitorování sítě a mnoho dalšího.

Povinnost samoidentifkace znamená, že si každá společnost musí posoudit, zda je poskytovatelem regulovaných služeb a jestli se tím pádem musí řídit novou úpravou kybernetické bezpečnosti. Je to jedna z těch významných změn, kdy oproti původnímu zákonu o kybernetické bezpečnosti společnosti určoval přímo sám NÚKIB.

V případě, že společnost zjistí, že vykonává činnost dle vyhlášky o regulovaných službách, bude se muset u NÚKIB ohlásit jako poskytovatel regulované služby a začít plnit zákonné povinnosti. Povinnost registrace u NÚKIB je nutno splnit nejpozději do 60 dní od účinnosti nové právní úpravy.

Jak Vám můžeme pomoci?

S nastavením kybernetické bezpečnosti

  • Provedeme analýzu konkrétních ustanovení uvedených v zákoně a vyhlášce o kybernetické bezpečnosti, abychom určili jejich použitelnost pro Vaši společnost.
  • Průběžně pro Vás budeme sledovat dodržování právních předpisů o kybernetické bezpečnosti.
  • Připravíme Vám plán, ve kterém budeme implementovat zásady a postupy odpovídající Vaší společnosti.
  • Pomůžeme Vám zavést a vylepšit nastavení technických a organizačních opatření.
  • Zaškolíme Vaše zaměstnance a zvýšíme povědomí o kybernetické bezpečnosti ve Vaší společnosti.
  • Vedle analýzy, implementace, vytvoření dokumentace, auditu atd. Vám zajistíme outsourcing manažera kybernetické bezpečnosti.

S povinnostmi podle nového kyberzákona

  • Provedením tzv. gap analýzy ověříme situaci ve Vaší společnosti a připravíme plán dalších kroků a opatření, které bude nutné zavést.
  • Pomůžeme Vám s identifikací režimu, do kterého spadáte a nastavením bezpečnostních opatření tak, abyste byli v souladu se zákonem.
  • Vysvětlíme Vám obsah Vašich povinností a zajistíme školení pro vrcholové vedení.
  • Vypracujeme analýzu aktiv a rizik.
  • Posoudíme bezpečnostní rizika Vašich dodavatelských řetězců a pomůžeme Vám s identifikací a hodnocením významných dodavatelů.
  • Vytvoříme Vám plán kontinuity podnikání a pomůžeme se všemi ostatními povinnostmi, které nová legislativa o kybernetické a informační bezpečnosti přináší.

Proč si vybrat nás?

Máme zkušenosti

Máme potřebné certifikace a dlouholeté zkušenosti s kompletní implementací bezpečnostních opatření ve společnostech různých odvětví a velikostí.

Jsme tu vždy pro Vás

Nabízíme outsourcing bezpečnostních rolí, včetně Manažera kybernetické bezpečnosti, který je Vám k dispozici 24/7.

Sledujeme novinky

Monitorujeme vývoj legislativy i aktuální situaci ohledně transpozice NIS2 do platné lokální legislativy. Novinky a aktuality víme z první ruky.

Přemýšlíme byznysově

Kybernetickou bezpečnost nastavujeme prakticky tak, aby pro Vás byla hlavně přínosem a také, aby jí všichni ve Vaší společnosti rozuměli a uměli ji používat.

Rozumíme právu

Jsme konzultanti s právním vzděláním. Směrnice a právní předpisy Vám přeložíme do srozumitelného jazyka tak, abyste všemu plně porozuměli.

Umíme se přizpůsobit

Kromě procesního nastavení kybernetické informační bezpečnosti Vám zvládneme zajistit i konzultace k technické části.

O nás

Kontaktujte nás a získejte svůj deštník proti kybernetickým hrozbám!

Pomůžeme Vám vytvořit základy, principy a dokumentaci pro efektivní zabezpečení. Naučíme Vás, jak rozumět a spoléhat se na Vaše zabezpečení v případě incidentů, aby mělo preventivní charakter a neochromilo provoz.

Kontakt
  • +420 234 262 329
  • info@cybrela.com

Rybná 682/14

Praha, Staré Město

110 00

Cybrela s.r.o.

IČ: 17597943

Ochrana osobních údajů

© 2023 Cybrela

Tvorba webových stránek