S rostoucími hrozbami v kyberprostoru a s přijetím nové legislativy (NIS 2 a Nový ZoKB) přichází nové povinnosti pro firmy a organizace v oblasti kybernetické bezpečnosti. Směrnice NIS 2 zavádí režim dvou úrovní povinností pro různé subjekty – Essential a Important, které Nový Zákon o kybernetické bezpečnosti reflektuje jako řežim vyšších povinností a režim nižších povinností. Tyto úrovně odráží kritičnost jednotlivých služeb, které jednotlivé subjekty poskytují, a jaká je míra jejich dopadu na národní bezpečnost a veřejný zájem.
Režim VYŠŠÍ POVINNOSTI ("Essential")
Subjekty zařazené do režimu vyšších povinností jsou považovány za klíčové z hlediska bezpečnosti a kontinuity kritických služeb, jako je energetika, zdravotnictví, doprava nebo vodohospodářství. Jejich funkce a infrastruktura jsou nezbytné pro fungování státu, a proto jsou na ně kladeny vyšší požadavky v oblasti kybernetické bezpečnosti. Povinnosti pro subjekty v tomto režimu zahrnují:
Zavedení přísnějších bezpečnostních opatření:
Subjekty musí zajistit robustní ochranu proti kybernetickým útokům, včetně pokročilých technologií pro monitorování, detekci a prevenci hrozeb. To zahrnuje i pravidelnou analýzu a testování jejich kybernetické odolnosti.
Hlášení incidentů:
Povinnost rychle nahlásit jakýkoli kybernetický incident, který by mohl narušit poskytování služeb. Časové limity pro hlášení jsou přísné, často v řádu hodin, a subjekty musí zajistit, že budou schopny reagovat bez prodlení.
Audit a dohled:
Subjekty v tomto režimu podléhají pravidelným bezpečnostním auditům a kontrolám ze strany orgánů dohledu. Musí prokazovat, že dodržují předepsaná bezpečnostní opatření, a mají povinnost uchovávat relevantní dokumentaci a záznamy o bezpečnostních postupech.
Vypracování krizových plánů:
Povinné vypracování krizových a obnovovacích plánů pro případ kybernetického incidentu, které zajistí kontinuitu služeb i v případě narušení jejich provozu.
Povinnost školení:
Subjekty v tomto režimu musí zajistit pravidelná školení a vzdělávání svých zaměstnanců v oblasti kybernetické bezpečnosti. Cílem je zvýšit povědomí o aktuálních hrozbách, postupech prevence a reakcích na kybernetické incidenty. Školení by mělo zahrnovat všechny zaměstnance, zejména ty, kteří pracují s citlivými daty nebo IT systémy.
Režim NIŽŠÍ POVINNOSTI ("Important")
Subjekty v režimu „Important“ mají nižší míru povinností než v režimu „Essential“, ale stále musí splňovat základní požadavky na kybernetickou bezpečnost. Tyto subjekty mohou zahrnovat menší poskytovatele služeb, jejichž činnost není pro fungování státu kritická, ale jejich narušení by přesto mohlo způsobit vážné problémy. Povinnosti zahrnují:
Zavedení základních bezpečnostních opatření:
Subjekty musí zavést dostatečná opatření pro ochranu svých informačních systémů, ale v menším rozsahu než v režimu Vyšších povinností. Opatření se zaměřují především na ochranu před běžnými kybernetickými hrozbami a zajištění minimální úrovně kybernetické odolnosti.
Hlášení incidentů:
Povinnost nahlásit závažné kybernetické incidenty, i když časové limity nemusí být tak přísné jako u režimu Vyšších povinností. Subjekty by měly být schopny identifikovat a nahlásit incidenty včas, aby se předešlo větším škodám.
Spolupráce s orgány dohledu:
I když subjekty v tomto režimu nepodléhají tak častým auditům a kontrolám, stále musí spolupracovat s národními orgány v případě vyšetřování kybernetických incidentů nebo při ověřování dodržování bezpečnostních opatření.
Krizové plány:
Vypracování krizových plánů je doporučeno ačkoliv ne tak detailně jako v režimu Vyšších povinností. Cílem je zajistit, že subjekty budou schopny obnovit svou činnost po kybernetickém incidentu.
Povinnost školení:
I subjekty v režimu Nižších povinností musí zajistit pravidelná školení zaměstnanců, i když rozsah školení může být menší než u subjektů v druhém režimu. Školení by mělo zaměstnancům poskytnout základní znalosti o kybernetických hrozbách a o postupech, jak se proti nim bránit.
Závěr:
I přesto, že jsou povinnosti plynoucí z obou režimů různé, v obou případech platí, že pravidelnost je klíčem k úspěchu. Je velmi důležité nevnímat nová pravidla jako požadavky státu, ale jako příletost k vylepšení statutu vaší společnosti v rámci vaší konkurence. V mnoha případech budou požadavky vyžadovány právě v návaznosti na nové povinnosti plynoucí ze zákona a v případě nesplnění požadavků to pro vaši společnost může znamenat například prohru ve výběrovém řízení, či například nemožnost účasti, apod.
Comments