01. 03. 2024
Předvídání nového zákona: Očekává se, že připravovaný zákon o kybernetické bezpečnosti vstoupí v platnost v druhé polovině roku 2024. Tento právní předpis poskytne subjektům roční přechodné období, aby se přizpůsobily novým požadavkům a začaly plnit některé povinnosti. Zatímco některé povinnosti, jako je dodržování protiopatření NÚKIB a hlášení změn kontaktních údajů, začnou platit koncem roku 2024, ostatní budou následovat v druhé polovině roku 2025. Navzdory tomuto zdánlivě prodlouženému časovému rámci by organizace podléhající tomuto zákonu neměly s přípravami otálet nebo čekat na jeho konečné přijetí, aby mohly zahájit úsilí o jeho provádění.
Včasné přípravy jsou klíčové: Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) doporučuje organizacím, kterých se nový zákon týká, aby zahájily přípravné práce co nejdříve. Vytvoření funkčního procesu řízení kybernetické bezpečnosti může trvat několik měsíců až let, zejména u subjektů, na které se nově vztahují přísné požadavky, a u těch, které kybernetické bezpečnosti dříve nevěnovaly pozornost. Vytvoření systému řízení bezpečnosti informací a splnění legislativních a regulačních požadavků je dlouhodobá záležitost náročná na zdroje.
Základní povinnosti: Oba regulační režimy podle zákona sdílejí společné povinnosti, například zavádění bezpečnostních opatření. Výběr vhodné úrovně zabezpečení a opatření by měl být proveden v souladu se zákonem a s ohledem na specifika organizace a kritičnost různých systémů a služeb. Počáteční kroky organizací, které s kybernetickou bezpečností začínají, by měly zahrnovat následující kroky:
Provedení auditu s cílem zmapovat současný stav kybernetické bezpečnosti a identifikovat zranitelná místa.
Vytvoření analýzy dopadů na podnikání, aby bylo možné pochopit potenciální dopady narušení na organizaci, a to s ohledem na dostupnost systému i integritu a důvěrnost dat.
Vzdělávání a školení: Je vhodné se včas zaměřit na školení příslušných osob v organizaci. To zahrnuje základní školení pro všechny uživatele, specializované školení pro ty, kteří se zabývají kybernetickou bezpečností, a zajištění toho, aby si vyšší vedení uvědomovalo důležitost řízení kybernetické bezpečnosti.
Technická opatření: Obecně doporučená technická opatření zahrnují nasazení firewallů (zejména perimetrických), sofistikovaných antivirových programů pro detekci a reakci koncových bodů (EDR) a zálohovacích řešení. Pravidelné aktualizace by případně měly být nedílnou součástí běžného provozu organizace.
Pozor na chybné nákupy: Vyvarujte se impulzivních nákupů služeb, které tvrdí, že vyhodnocují soulad organizace se standardem NIS2 nebo že implementují standardy NIS2 bez důkladného porozumění. Směrnice NIS2 nespecifikuje přesné požadavky; ty budou podrobně uvedeny v připravovaném zákoně o kybernetické bezpečnosti.
Strategické plánování: Organizace by měly plánovat, jak budou plnit povinnosti, ať už interně, nebo prostřednictvím externích poskytovatelů, a s dostatečným předstihem prozkoumat trh potenciálních externě zajišťovaných služeb. Vzhledem k tomu, že nařízení zahrnuje podstatně větší počet subjektů, očekává se, že poptávka po externích službách v oblasti kybernetické bezpečnosti se po účinnosti nového zákona výrazně zvýší.
Finanční aspekty: Pochopte finanční aspekty a náklady spojené se směrnicí NIS2 a novým zákonem o kybernetické bezpečnosti.
