Čekání se nevyplatí: Novela zákona o kybernetické bezpečnosti je za dveřmi, čas běží

Schválení směrnice NIS2 v prosinci 2022 předznamenalo nutnost budoucí proměny českých zákonů o kybernetické bezpečnosti; k tomu nyní dochází a nejpozději na začátku příštího roku se budou muset podniky přizpůsobit nové situaci. Firmy, kterých se novela týká, budou mít povinnost se od ledna 2025 nahlásit NÚKIBu a poté mají ještě rok na zavedení „odpovídajících bezpečnostních opatření“, jak je úřad nazývá. Ale pozor, NIS2 není GDPR – je potřeba učinit skutečná technická opatření a rok tak uplyne jak voda.

Obzvlášť nebezpečné je vyčkávat v případě, že se váš podnik informačními technologiemi primárně nezabývá – pokud se vás totiž novela týká, budete muset implementovat celou řadu nových procesů, které pravděpodobně nemáte nastavené a zabere vám to ještě víc času a peněz.

Týká se vás NIS2? Na nic nečekejte

Novela zároveň počítá s tím, že standardy bezpečnosti budou muset splňovat i firmy v dodavatelském řetězci, což je mnoho dalších subjektů, jichž se novela nepřímo dotkne. Jak říká externí konzultant Českých Radiokomunikací a specialista na kybernetickou bezpečnost Martin Půlpán, „spousta podniků vyčkává s implementací změn až do přijetí zákona, jenže to už je poměrně pozdě“ – právě například proto, že se nové situaci budou muset přizpůsobit i někteří dodavatelé.

Že nová pravidla nejsou jen tak na oko podtrhuje i fakt, že se směrnice NIS2 týká také managementu firem. Řídící orgány „musí být schopny identifikovat a vyhodnocovat opatření pro řízení rizik kybernetické bezpečnosti,“ píše na svých stránkách NÚKIB a popisuje, že se členové správních orgánů společností musí pravidelně vzdělávat a školit, aby mohli pravidla dodržovat. „Součinnost s managementem je v tomto případě nezastupitelná,“ potvrzuje Půlpán a dodává, že management by měl být součástí řízení kybernetické bezpečnosti i řízení souvisejících rizik. Velký rozhovor s Martinem Pulpánem na téma NIS2 si můžete přečíst zde.

A jaké budou nové povinnosti pro podniky?

To záleží. Co se týče skutečných bezpečnostních opatření, jsou dva „stupně“, pod které spadají různé firmy. Jisté je, že se zákon o kybernetické bezpečnosti nově dotkne vícero subjektů, a to vlivem rozšíření regulovaných odvětví. Ty úplně nejzákladnější povinnosti platí pro oba stupně a představují:

• Ohlášení regulované služby.
• Hlášení kontaktních a dalších údajů.
• Stanovení rozsahu řízení kybernetické bezpečnosti.
• Zavádění bezpečnostních opatření (vyšší nebo nižší).
• Zabezpečení dodavatelského řetězce
• Hlášení kybernetických bezpečnostních incidentů.
• Informování zákazníků o incidentech a hrozbách.
• Provádění protiopatření vydaných NÚKIBem.
• A dále dvě opatření týkající se strategicky významných služeb.

Nižší režim povinností novely ZaKB

1. Zajišťění a řízení kybernetické bezpečnosti
2. Povinnosti a odpovědnost vrcholového vedení
3. Řízení rizik
4. Bezpečnost lidských zdrojů
5. Řízení kontinuity
6. Řízení přístupu
7. Řízení identit a jejich oprávnění
8. Detekce a logování kybernetických incidentů
9. Řešení kybernetických bezpečnostních incidentů
10. Bezpečnost komunikačních sítí
11. Aplikační bezpečnost
12. Šifrování dat a kryptografické algoritmy

Vyšší režim povinností novely ZaKB – Organizační opatření

1. Systém řízení bezpečnosti informací
2. Povinnosti pro vrcholové vedení
3. Bezpečnostní role KB (manažer, architekt a auditor) a garanti aktiv
4. Řízení bezpečnostní politiky a bezpečnostní dokumentace
5. Řízení aktiv
6. Řízení rizik
7. Řízení dodavatelů
8. Bezpečnost lidských zdrojů
9. Řízení změn
10. Akvizice, vývoj a údržba
11. Řízení přístupu
12. Zvládání kybernetických bezpečnostních událostí a incidentů
13. Řízení kontinuity činností
14. Audit kybernetické bezpečnosti

Vyšší režim povinností novely ZaKB – Technická opatření

1. Fyzická bezpečnost
2. Bezpečnost komunikačních sítí
3. Správa a ověřování identit
4. Řízení přístupových oprávnění
5. Detekce kybernetických bezpečnostních událostí
6. Zaznamenávání událostí
7. Vyhodnocování kybernetických bezpečnostních událostí
8. Aplikační bezpečnost
9. Kryptografické algoritmy
10. Zajišťování dostupnosti regulované služby
11. Zabezpečení průmyslových, řídící a obdobná specifických aktiv

Jak se s NIS2 poprat?

Pokud vaše firma tápe v tom, jak vše včas a bezproblémově zajistit, vězte, že nejste sami. Není ale nač čekat, kybernetických expertů je na trhu velmi málo a při očekávaném zvýšení poptávky půjde jen těžko najít volného odborníka, který vám s implementací potřebných procesů pomůže.

Velmi užitečným partnerem pro malé a střední podniky mohou v tomto případě být České Radiokomunikace. Poradí s možností čerpání dotací na provezení analýz zajištění kybernetické bezpečnosti a provést umí i samotné analýzy, tedy potřebnou základní analýzu, GAP analýzu či analýzu rizik.

Nabídnout ale mohou i skenování známých zranitelností, penetrační testy, službu sdíleného odborníka na kybernetickou bezpečnost, pokročilou analýzu provozu a další komplexní služby, které mohou firmám ušetřit čas, peníze a především zajistit, že se za rok a něco neocitnou v legislativních problémech. Podobné služby dokáží České Radiokomunikace nabídnout také finančním institucím, kterých se týká obdobná nová směrnice – DORA.