MobilitaBudoucnost průmyslu a výrobyPodnikáníCirkulární ekonomikaMalé a střední podniky
Podnikatelské trendyO násInovativní podnikáníZodpovědná společnostMalé a střední podniky
DiverzitaTechnologieEkologické ČeskoFinTechŽeny v businessu
Domovská stránka » Podnikání a investice » KYBERBEZPEČNOST A NIS2: CO PŘINÁŠÍ TZV. NIŽŠÍ REŽIM?
    • Podnikání a investice

    KYBERBEZPEČNOST A NIS2: CO PŘINÁŠÍ TZV. NIŽŠÍ REŽIM?

    Zdroj: Adobe Stock

    Nový zákon o kybernetické bezpečnosti dle evropské směrnice NIS2 je v Poslanecké sněmovně a probíhá o něm poměrně živá mediální debata. Pojďme se podívat na to, jak konkrétně vypadají povinnosti pro většinu subjektů, na které se tento zákon bude vztahovat.

    Anna Zádrapová

    vedoucí oddělení komunikace

      Nárůst počtu regulovaných subjektů ze 450 na odhadovaných 6000 je velkou změnou. Vychází z pravidel evropské směrnice NIS2. Tu ČR transponuje do svého právního řádu v podobě nového zákona o kybernetické bezpečnosti (nZKB). Počet regulovaných subjektů je tedy dán, v implementaci pravidel je však značná vůle.

      NÚKIB napsal návrh nZKB tak, aby situaci firmám a institucím usnadnil. Povinnosti rozdělil dle významu regulovaných subjektů do dvou režimů – vyššího a nižšího. Vyšší režim je standardem, podle kterého by už mělo fungovat oněch 450 subjektů regulovaných stávajícím ZKB. Nižší režim, jemuž se věnujeme v tomto textu a do něhož bude náležet drtivá většina (cca 5000) regulovaných subjektů, pak zahrnuje naprosté základy KB, které očekáváte např. i od hotelu na dovolené. Společné povinnosti pro oba režimy jsou následující:

      • Ohlášení, že pod zákon spadáte;
      • Ohlášení kontaktní osoby pro NÚKIB pro komunikaci v krizových situacích;
      • Hlášení incidentů v případě, že dojde k úspěšnému útoku – nižší režim hlásí pouze významné incidenty;
      • Protiopatření: Plnění ad hoc pokynů NÚKIB v reakci na akutní hrozbu.
      kyberbezpečnost
      Zdroj: Adobe Stock

      Pak je tu nejdůležitější povinnost, a to zavedení kyberbezpečnostních opatření. Minimální požadavky v nižším režimu zahrnují:

      • Určení osoby odpovědné za kyberbezpečnost;
      • Základní bezpečnostní dokumentace (zejména Přehled bezpečnostních opatření) – tedy dokument o tom, co mám zavedeno, co zavádět budu/nebudu, kdy a proč;
      • Nastavení základních bezpečnostních pravidel a jejich zohlednění ve smlouvách s dodavateli;
      • Školení uživatelů a vrcholového managementu;
      • Prosazování kyberbezpečnosti z úrovně managementu (jak deklarace, tak zcela praktická podpora – vedení by například nemělo mít bezpečnostní výjimky);
      • Připravení plánu pro zvládání útoku a obnovu provozu;
      • Používání výrobcem podporovaného softwaru a pravidelná aktualizace.

      Doplňující okruh opatření zohledňuje princip přiměřenosti. To znamená, že firma či instituce si zavede opatření, která se jí vyplatí. Patří sem třeba:

      • řízení přístupů do sítě, tedy rozlišení mezi uživateli a administrátory;
      • členění sítě do menších celků, pokud je rozsáhlá;
      • používání aktuálních nástrojů pro ochranu sítě a další.
      Autor
      Mediaplanet
      Next
      Sdílet Sdílet
      Next article