Nový zákon o kybernetické bezpečnosti se blíží do finále – a s ním i konkrétní technické a metodické požadavky, které se dotknou tisíců organizací. Cílem je zvýšit odolnost organizací vůči kybernetickým hrozbám a zajistit bezpečný digitální prostor. Už žádné obecné formulace. Nově máte na stole jasný seznam konkrétních opatření, která budete muset zavést. Odpovědnost za jejich plnění leží přímo na vedení firem.
Připravovaný zákon a směrnice NIS 2 posouvají kybernetickou bezpečnost z IT oddělení přímo na stůl managementu. Zajištění souladu s novými požadavky není jen otázkou technologií – ale také firemní kultury, řízení a jasně definované odpovědnosti. Management musí být aktivně zapojen – vedení firem je odpovědné za schvalování a dohlížení nad opatřeními kybernetické bezpečnosti. Členové řídících orgánů musí absolvovat školení, aby rozuměli rizikům a uměli je řídit.
Regulace cílí mimo jiné na poskytovatele digitálních služeb, například:
Regulace ale cílí také na subjekty mimo digitální sektor, například:
Pokud jste jedním z nich, regulace se Vás bude přímo dotýkat a jste to Vy, kdo bude muset splnit nové požadavky. Připravili jsme pro Vás přehled toho, co Vás čeká a jak se připravit.
Dne 18. října 2024 bylo v Úředním věstníku EU publikováno finální znění prováděcího nařízení Evropské komise ke směrnici NIS2. To stanoví konkrétní bezpečnostní opatření, která musejí zavádět poskytovatelé digitálních služeb. Co to pro Vás znamená? Zde je „bezpečnostní checklist“ nejdůležitějších bodů:
1) Riziková a bezpečnostní politika
Stanovte si jasné a konkrétní cíle, metodiky řešení incidentů a vymezte role a odpovědnosti v oblasti kybernetické bezpečnosti. Bez plánu to nepůjde.
2) Reakce na incidenty
Musíte mít mechanismus pro hlášení, monitoring a logování incidentů. Plány pro reakci a zotavení jsou povinné.
3) Kontinuita provozu
Zálohování, krizové scénáře a řízení obnovy se stávají povinnou součástí Vašeho bezpečnostního rámce.
4) Bezpečnost dodavatelů
Regulace požaduje konkrétní kritéria výběru a bezpečnostní požadavky zakotvené ve smlouvách s dodavateli. Už žádné dodavatelské riziko "na vlastní nebezpečí".
5) Vývoj a údržba IT systémů
Kybernetická bezpečnost se má stát součástí celého životního cyklu systémů – od nákupu přes změny až po zveřejňování zranitelností a jejich nápravu.
6) Vyhodnocování efektivity
Povinné je pravidelně hodnotit, zda Vaše opatření skutečně fungují – tedy nestačí mít papírovou politiku, ale musíte i ověřit její účinnost.
7) Kyberhygiena a školení
Proškolení musí být všichni – od IT specialistů až po vrcholový management. Kyberhygiena je klíčová pro ochranu Vaší organizace.
8) Kryptografie a šifrování
Budete muset definovat pravidla pro používání šifrování a kryptografických metod – a samozřejmě je také zavést do praxe.
9) Bezpečnost personálu
Zaměřte se na důvěryhodnost lidí – od bezpečnostních prověrek po smluvní požadavky vůči zaměstnancům a externistům.
10) Kontrola přístupu
Nutná je silná autentizace, omezený přístup a správa privilegií – žádné sdílené účty ani slabá hesla. Bez kompromisů.
Nařízení bude vymahatelné společně s účinností připravovaného zákona o kybernetické bezpečnosti. Ačkoliv je závazné pouze pro poskytovatele digitálních služeb, inspiraci si z něj mohou vzít všechny povinné subjekty. Konkrétní checklisty pro ostatní regulované subjekty vzniknou až s prováděcími vyhláškami k připravovanému zákonu, které jsou nyní zveřejněny ve fázi tzv. tezí.
Regulace Vás nechce potrestat, ale připravit na realitu kybernetických hrozeb 21. století. Je to příležitost, jak posílit svou organizaci v digitální době. Implementace těchto opatření znamená nejen splnění právních požadavků, ale hlavně:
✅ Vyšší odolnost vůči útokům
✅ Důvěru zákazníků a partnerů
✅ Konkurenční výhodu v digitální ekonomice
Je nejvyšší čas začít s přípravami. Pokud chcete znát podrobnosti, včetně znění prováděcího nařízení a dalších souvislostí, podívejte se na celý rozbor na našem blogu:
👉 Přečíst originální článek zde.
A pokud hledáte partnera, který Vás provede přípravou na novou kyberbezpečnostní regulaci, ozvěte se nám. Máme zkušenosti z desítek organizací a pomůžeme Vám navrhnout opatření, která budou dávat smysl a která Vás ochrání – jak před kybernetickými hrozbami, tak před sankcemi ze strany dozorových orgánů.