Nový zákon o kybernetické bezpečnosti

Existuje nějaké nutné minimum a postupné dodělání?

Pro oba režimy existuje nutné minimum, ale jen v případě firem, které začínají na zelené louce nebo nemají zdroje a mohou to prokázat. Firmy začínající od nuly ve vyšším režimu musí mít alespoň zmapovaná všechna aktiva regulovaných služeb, analýzu a plán zvládání rizik, BIA či GAP analýzu, prohlášení o aplikovatelnosti a krizový plán. Zbytek pak mohou dodělat v rámci přehledu bezpečnostních opatření.

Nižší režim, začíná-li firma od nuly, má nutné minimum přímo v návrhu vyhlášky pro nižší režim.  Jde o § 4 odstavec 2 až 7 (systém zajišťování kyberbezpečnosti) a § 5 (povinnosti vrcholného vedení), 6 (bezpečnost lidských zdrojů) a 11 (řešení incidentů) v návrhu vyhlášky pro nižší režim. Zbytek opatření lze rovněž dodělat v rámci přehledu bezpečnostních opatření.

Není zkrátka důvod panikařit. Vždy je to o projevené snaze. I kdyby to byla jen GAP analýza s reportem, kde je naplánováno, kdy a jak budete řešit mezery v souladu a bezpečnostní rizika. Pamatujte, že kontrola je sekundární povinností státu a sankce až poslední možnost. NÚKIB není proti vám. Všichni společně stojíme proti kyberzločincům.

• Do 60 dnů po účinnosti zaregistrovat přes portál NÚKIB své regulované služby.
• Po tom, co vám NÚKIB doručí rozhodnutí o registraci, do 30 dnů přes portál nahlásit kontaktní údaje (IČO, kontaktní osoby za firmu atd.)
• Stanovit rozsah řízení kyberbezpečnosti určením primárních a podpůrných aktiv regulovaných služeb. Pokud ho nestanovíte, zákon dopadá na všechna aktiva firmy (za nás lepší, protože budete chránit celou firmu, nejen část). 
• Začít zavádět bezpečnostní opatření podle režimu nejpozději do 1 roku od doručení rozhodnutí o registraci od NÚKIB.
• Hlásit kyber-incidenty přes portál NÚKIB (vyšší režim hlásí NÚKIB, nižší Národnímu CERT).
• Informovat zákazníky o incidentech a hrozbách max. do 1 roku od doručení rozhodnutí o registraci od NÚKIB (pokud je to vhodné).
• Provádět protiopatření vydané NÚKIB (výstraha, varování, reaktivní protiopatření) ve lhůtě a dle úkonů v protiopatření a výsledek ohlásit NÚKIB.
• Pokud jste strategicky významnou službou (NÚKIB vám to sdělí už při registraci), tak rok ode dne, kdy jste se jí stali, musíte začít zjišťovat a evidovat informace o dodavatelích bezpečnostně významných dodávek (mechanismus BDŘ).
• Stejně, jako výše, pokud jste strategicky významní, musíte zajišťovat dostupnost regulované služby v nezbytném rozsahu, ve stanoveném čase a kvalitě z území České republiky.

Které opatření zde má vyšší režim a které nižší?

Technická opatření zahrnují postupy a technologie pro aktivní ochranu dat a kontinuitu podnikání. Spojením s organizačními opatřeními (procesy, dokumentace) vzniká celistvý systém řízení bezpečnosti informací, který vaši firmu chrání každý den. Technická opatření můžete kromě návrhu vyhlášky nZKB poznat i v newsletter sérii #UmimeNIS2.

Technická opatření pro vyšší režim zahrnují:

• fyzická bezpečnost (chráním firmu a aktiva i offline — závory, kamery atd.),
• bezpečnost komunikačních sítí (vím, co se děje v síti a mám nástroje k její ochraně),
• správa a ověřování identit (vím, kdo kam přistupuje a co tam může dělat),
• řízení přístupových práv a oprávnění (kontroluji a určuji, kdo kam přistupuje a co tam může dělat),
• detekce kybernetických bezpečnostních událostí (vím, jak odhalovat hrozby a útoky dříve než ohrozí firmu),
• zaznamenávání událostí (vím, co za události, kdy a kam ukládat),
• vyhodnocování kybernetických bezpečnostních událostí (vím, kterou událost vyhodnotit jako hrozbu nebo incident),
• aplikační bezpečnost (vím, jak být v bezpečí při používání aplikací),
• kryptografické algoritmy (šifruji citlivé informace, aby je nikdo neoprávněně nezískal),
• zajišťování dostupnosti regulované služby (mám plán, jak se udržet v chodu v případě krize),
• zabezpečení průmyslových, řídících a obdobných technických aktiv (chráním své výrobní a řídící systémy).

Technická opatření pro nižší režim zahrnují:

• řízení identit a jejich oprávnění (vím a řídím, kdo kam přistupuje a co tam může dělat),
• detekce a zaznamenávání kybernetických bezpečnostních událostí (vím, jak odhalovat rizikové události i které, kdy, kam a proč uložit),
• bezpečnost komunikačních sítí (vím, co se děje v síti a mám nástroje k její ochraně),
• aplikační bezpečnost (vím, jak být v bezpečí při používání aplikací),
• kryptografické algoritmy (šifruji citlivé informace, aby je nikdo neoprávněně nezískal).

Které opatření zde má vyšší režim a které nižší?

Organizační opatření zahrnují procesy a dokumentace, které slouží jako manuál, jak se chovat bezpečně, nebo něco dělat správně. Pasivně podporují bezpečnost. Když jsou správně uchopené, zajišťují, že kyberbezpečnost funguje nejen na papíře, navíc podporují její kontinuitu a usnadňují bezpečný onboarding nových zaměstnanců. Organizační opatření můžete kromě návrhu vyhlášky k nZKB poznat i v newsletter sérii #UmimeNIS2.

Organizační opatření pro vyšší režim zahrnují:

• systém řízení bezpečnosti informací (mám procesy, dokumentace a technologie k řízení rizik),
• požadavky na vrcholné vedení (vedení uvolňuje zdroje a angažuje se v bezpečnosti),
• stanovení bezpečnostních rolí (mám rozdělené odpovědnosti za rozvoj a údržbu bezpečnosti),
• řízení bezpečnostní politiky a bezpečnostní dokumentace (reaguji na změny a pravidelně aktualizuji dokumentace),
• řízení aktiv (mám přehled o IT aktivech, vím, jak je chránit, bezpečně užívat, eviduji je a při změně aktualizuji evidenci),
• řízení rizik (mám postupy, jak odhalit hrozby pro firmu, vyhodnotit jejich závažnost a předejít jim),
• řízení dodavatelů (vím, že ti, se kterými spolupracuji, neohrozí firmu),
• bezpečnost lidských zdrojů (ve firmě všichni vědí, jak se chovat bezpečně a nezavinit útok),
• řízení změn (mám postup pro řízení významných změn a rizik s nimi spojených),
• akvizice, vývoj a údržba (když nakupuji nová aktiva, je to změna a vím, jak ji bezpečně řídit). 
• řízení přístupu (mám pravidla pro to, kdo, kdy, kam může a co tam může dělat),
• zvládání kybernetických bezpečnostních událostí a incidentů (mám plán a procesy, kterými zvládnu krizi),
• řízení kontinuity činností (mám plán, který mě udrží v chodu i navzdory krizi),
• provádění auditu kybernetické bezpečnosti (pravidelně a nestranně ověřuji, že vše funguje, jak má).

Organizační opatření pro nižší režim zahrnují:

• systém zajišťování minimální kybernetické bezpečnosti (mám procesy, dokumentace a technologie k řízení rizik),
• požadavky na vrcholné vedení (vedení uvolňuje zdroje a angažuje se v bezpečnosti),
• řízení aktiv (mám přehled o IT aktivech, vím, jak je chránit, bezpečně užívat, eviduji je a při změně aktualizuji evidenci),
• řízení rizik (mám postupy, jak odhalit hrozby pro firmu, vyhodnotit jejich závažnost a předejít jim),
• bezpečnost lidských zdrojů (ve firmě všichni vědí, jak se chovat bezpečně a nezavinit útok),
• řízení kontinuity činností (mám plán, který mě udrží v chodu i navzdory krizi),
• řízení přístupu (mám pravidla pro to, kdo, kdy, kam může a co tam může dělat),
• řešení kybernetických bezpečnostních incidentů (mám postup, jak incident odhalit, ohodnotit, nahlásit a vyřešit). 

Jaký je v režimech rozdíl, může mít organizace více režimů?

Vyšší a nižší režim vychází ze směrnice NIS2. V ní jsou ve vyšším režimu tzv. essential organizace (přísnější) a v nižším tzv. important organizace (mírnější). Regulované organizace podle svých režimů zavádějí organizační a technická opatření ke zmírnění kybernetických rizik.

Vyšší režim má 25 opatření, nižší režim jich má 13. Vždy platí jeden režim na celou organizaci. Pokud najdete jednu službu v nižším a jednu ve vyšším, pro obě se vždy řídíte požadavky vyššího režimu.

Předpokládaná účinnost nZKB dle NIS2, aktuální vývoj

Nový zákon o kybernetické bezpečnosti (nZKB) měl být v České republice původně zaveden do 17. října 2024, avšak legislativní proces se zpozdil. Aktuálně se očekává, že zákon by měl mít účinnost ve druhé polovině roku 2025. Nezpozdí-li se legislativní proces, mohl by tu být už v říjnu 2025.

Kolika a jak velkých firem se dotkne, v jakých odvětvích?

6000 — 9 000 firem, 22 odvětví ekonomiky, 100+ regulovaných služeb. Takový dopad má nZKB dle směrnice NIS2. Pod nZKB spadají hlavně střední a velké firmy, u některých služeb v digitálním IT odvětví ale i ty malé a mikro. Regulována jsou tato odvětví:

• veřejná správa a energetika,
• výrobní průmysl,
• potravinářský průmysl,
• chemický průmysl,
• vodní hospodářství,
• odpadové hospodářství,
• doprava,
• digitální infrastruktura a služby,
• finanční trh,
• zdravotnictví,
• věda, výzkum a vzdělávání,
• poštovní a kurýrní služby,
• obranný průmysl,
• vesmírný průmysl

Jaký má význam pro nový zákon o kybernetické bezpečnosti?

Směrnice NIS2 je dlouho připravovaným evropským nařízením, které bylo přijato v roce 2022. Jeho cílem je posílit kyberbezpečnost států EU. Národní Úřad pro Kybernetickou a Informační Bezpečnost (NÚKIB) proto přistoupil k tvorbě nového zákona o kybernetické bezpečnosti, do kterého promítá požadavky směrnice NIS2.