Zpřísnění pravidel pro řízení kybernetické bezpečnosti

Kybernetická prevence se pro firmy stává nepostradatelnou součástí bezpečnostní strategie – nejen kvůli ochraně dat a provozu, ale také pro dodržení aktuálních legislativních požadavků, jako je směrnice NIS2 a nový kybernetický zákon. 

 Jaké povinnosti nový ZoKB přinese?

Zpřísnění pravidel pro řízení kybernetické bezpečnosti

• Identifikace všech primárních aktiv v rámci celé organizace (včetně jejich evidence)
• Určení, která primární aktiva souvisejí s poskytováním regulované služby, a určení jejich podpůrných aktiv
• Řízení přístupu k aktivům
• Stanovení rozsahu systému řízení bezpečnosti
• Tvorba/aktualizace bezpečnostních politik a bezpečnostní dokumentace
• Komplexnější přístup k řízení rizik, povinnost identifikovat rizika, vyhodnocovat a přijímat opatření ke snížení rizik, posuzovat naplňování plánu zvládání rizik
• Zabezpečení pořizování, vývoje a údržby sítí a informačních systémů
• Důraz na bezpečnost lidských zdrojů, pravidelná školení a kybernetická hygiena
• Prosazování politik a postupů týkajících se používání kryptografie, případně šifrování
•  Využívání vícefaktorového ověření identity
•  Zajištění provedení auditu kybernetické bezpečnosti

Sdílení informací

• Hlášení registračních, kontaktních a dalších doplňujících údajů NÚKIBu
• Hlášení kybernetických bezpečnostních incidentů (prvotní hlášení do 24 hodin)
• Informování uživatelů regulované služby (v případě kybernetického informačního incidentu)
• Vzájemné sdílení podstatných informací o kybernetické bezpečnosti včetně informací týkajících se kybernetických hrozeb, zranitelností, indikátorů narušení, taktiky, technik a postupů, varování při ohrožení kybernetické bezpečnosti a konfiguračních nástrojů

Zajištění bezpečnosti dodavatelů

• Prověřování a zajišťování bezpečnosti celého dodavatelského řetězce
• Zohledňování zranitelných míst i kvality postupů v oblasti kyberbezpečnosti u každého přímého dodavatele a poskytovatele služeb

Realizace protiopatření

• Povinnost provádění výstrah, varování a reaktivních opatření
• Následné oznámení o provedení a výsledku opatření NÚKIBu

Větší důraz na management incidentů

• Důraz na řešení incidentů (prevence a odhalování kybernetických bezpečnostních incidentů a reakce na ně) a stanovení nutných bezpečnostních opatření
• Prošetření a určení příčin kybernetického bezpečnostního incidentu
• Vedení záznamů o kybernetických bezpečnostních incidentech a o jejich zvládání

Kontrola vykonávaná NÚKIBem

• Kontroly plnění povinností a dodržování prováděcích právních předpisů v oblasti kybernetické bezpečnosti
• Povinnost provést uložená nápravná opatření
• Dodržování vydaných varování, závazných pokynů či příkazů, aby subjekty napravily zjištěné nedostatky nebo porušení povinností

Řízení kontinuity

• Analýza dopadů
• Pravidelná tvorba záloh
• Pravidelné testování kontinuity a plánů obnovy

Pomůžeme vám s implementací požadavků nového ZoKB a jeho vyhlášek

Fáze 1 – analýza

V první fázi zanalyzujeme váš systém řízení kybernetické bezpečnosti včetně interních předpisů, plánů a jednotlivých procesů. Zhodnotíme váš aktuální stav kybernetické bezpečnosti a dopady nové legislativy na vaši činnost. Následně stanovíme další kroky včetně harmonogramu.

Fáze 2 – návrh

V této fázi navrhneme celkový koncept řízení kybernetické bezpečnosti podle nového ZoKB včetně vhodných procesů, kontrolních systémů, plánů, metrik a technologií. Navrhneme strategické iniciativy vedoucí k souladu s legislativou, určíme priority, potřebné zdroje a podpůrné technologie.

Fáze 3 – řešení

V poslední fázi vám pomůžeme se zavedením funkčního procesu řízení kybernetické bezpečnosti. Provedeme úpravu dokumentů, procesů, nastavení reportingu, aktualizujeme analýzu rizik, business impact analýzu a plán zvládání rizik, vyškolíme vaše zaměstnance. Dále můžeme pomoci se zavedením Security Operations Centra či s obsazením bezpečnostních rolí.