Shrnuli jsme pro vás aktuální stav často probíraného tématu. Kdy to vypukne a koho se týká? Směrnice NIS2 dává vzniknout aktualizované podobě Zákona o kybernetické bezpečnosti. Cesta je to dlouhá a momentálně se nacházíme přibližně v polovině její legislativní pouti. Lhůta pro uplatnění připomínek skončila 19. července a v současnosti se reaguje na podněty. Datum její účinnosti je plánované na říjen roku 2024. Chcete-li mít aktuální přehled o stavu, doporučujeme sledovat Portál informačního systému ODok ÚVČR, konkrétně materiály VeKLEP, umístěné ve Veřejné elektronické knihovně legislativních procesů. Celý průběh kybernetického zákona je tedy nutné nepodceňovat a monitorovat pro následnou schopnost včas reagovat a nastavit veškeré dotčené procesy ve společnosti. Regulace dle NIS2 pro zvýšení ochrany dat se dotkne středních i velkých podniků ze soukromé i veřejné sféry. Do jaké skupiny spadáte se posuzuje dle počtu zaměstnanců a ročního obratu podniku (více zde). Avšak tam to zdaleka nekončí! Změny a pravidla dopadnou i na dodavatele a subdodavatele. Čeká nás přijmutí vhodných opatření k řízení bezpečnostních rizik, a to z pohledu nejen technického, ale i provozního a organizačního. Posuzovat se bude jejich přiměřenost, zohledňovat míra vystavení se rizikům, pravděpodobnost výskytu a závažnost incidentů včetně společenského i ekonomického dopadu. Před stanovením povinností je samozřejmě nutná realizace analýzy rizik, která je společně s opatřeními pro ochranu dat základním stavebním kamenem povinností dle směrnice NIS2 a kybernetického zákona. Volně dostupné informace Návrh zákona o kybernetické bezpečnosti Návrh zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti Okruhy povinností v přehledu analýza rizik a politika bezpečnosti informačních systémů zvládání bezpečnostních incidentů kontinuita činností zahrnující správu zálohování a obnovu provozu po haváriích a krizové řízení bezpečnost v rámci dodavatelského řetězce zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešení politiky a postupy pro hodnocení účinnosti bezpečnostních opatření (tj. audit) praktiky základní počítačové hygieny a vzdělávání v oblasti kybernetické bezpečnosti politiky a postupy týkající se využívání kryptografie, případně také šifrování bezpečnost lidských zdrojů, řízení přístupů a aktiv využívání vícefaktorového ověřování identity, bezpečných komunikačních nástrojů a nástrojů pro nouzovou komunikaci Dále jsou povinnosti děleny na služby dle režimu essential a important v rozčlenění na technická a organizační opatření. Celou oblast upravuje §15 návrhu nového kybernetického zákona a prováděcí vyhlášky. Obrovský důraz se klade na vzdělávání a proškolení plynoucí z odpovědnosti činitelů povinných organizací za realizaci bezpečnostních opatření ke snížení rizik. Ve Faster CZ již máme stanoven vlastní CERT tým, který je odborně proškolen po organizační i technické stránce a propouští celkovou kybernetickou osvětu směrem k ostatním zaměstnancům. Navíc je tým evidován jako tzv. ověřený dodavatel dle mezinárodních standardů FASTER-CSIRT (CZ). V praxi to znamená, že jsme splnili potřebná kritéria registrace našeho firemního bezpečnostního týmu pro koordinaci a eskalaci kybernetických bezpečnostních incidentů na národní i evropské úrovni. Mj. je zřízení CSIRT týmu včetně procedury jeho schválení a mezinárodní registrace jednou z povinností ISP dle NIS2. Náš odborný tým tedy zdaleka nenaplňuje pouze interní roli. Čím NIS2 překvapuje? Konkrétně u organizací spadajících do režimu s vyšší povinností (essential) se opatření dotknou i subdodavatelů, a to díky naplnění požadavku řídit své dodavatele. Pro zajištění bezpečnosti a kvality dodavatelských vztahů bude nutné správně nastavit procesy při jejich výběru pro důvěryhodnost, pravidelně vyhodnocovat stav jejich opatření kybernetické bezpečnosti na základě stanovených bezpečnostních požadavků, nejlépe s přesahem do OOU (ochrany os. údajů) a kvalitním smluvním ošetřením. Zeptali jsme se na názor Radima Ševčíka, MBA, našeho kybernetického specialisty Faster CZ: „Evropský regulátor i NÚKIB přikládají stále větší význam bezpečnosti dodavatelů. Důvodem jsou nejen častější útoky skrze dodavatelský řetězec, ale i zvyšující se závislosti v samotném řetězci. Bezpečnostní komunita českého prostředí apeluje na racionální uchopení povinnosti aktivně řídit kyberbezpečnost v rámci výběru svých dodavatelů. Pro významné dodavatele v režimu tzv. vyšší povinnosti stanovuje v projednávaném vypořádání NIS2 další povinnosti včetně požadavků na obsah smlouvy s dodavatelem, vyhodnocení implementovaných bezpečnostních opatření dodavatele a návazných rizik, přezkoumávání smluv i pravidelnou kontrolu opatření dodavatele. Úplnou novinkou je začlenění hodnocení NÚKIB do procesů výběru významného dodavatele, kdy předmětem posuzování budou kritéria země působnosti dodavatele, trestná činnost dodavatele, ekonomická aktivita, jednání zástupců dodavatele a další oblasti podrobněji popsané ve Vyhlášce o kritériích rizikovosti dodavatele. Teprve praxe implementace NIS2 u podniků a subjektů s tzv. nižší povinností ukáže, jak významně zasáhne norma chování téměř 6 000 firem ve vztahu k jejich dodavatelům. Prakticky je národní úprava NIS2 koncipována jako brzda dominového efektu šířících se kybernetických hrozeb prostřednictvím dodavatelů a předpokládá, že firmy budou aktivně usilovat o bezpečnostní iniciativu svých klíčových dodavatelů, aby předešly jak reálným hrozbám, tak možnému uplatnění finanční sankce až do výše 10 000 000 EUR nebo 2 % z čistého obratu za poslední ukončené účetní období.“ Příprava ušetří nejen čas Ze své vlastní zkušenosti doporučujeme neodkládat přípravy. Říjen 2024 je sice ještě v nedohlednu, pokud však s kybernetickou bezpečností právě začínáte, nemusíte mít dostatek času na zavedení všech opatření do praxe. Neváhejte oslovit tým Faster CZ, který rád pomůže se zastřešením oblastí kybernetické bezpečnosti. Ochrana dat je základním cílem všech bezpečnostních opatření v IT. Řešení na míru
IT Systems: Tato směrnice navazuje na stávající směrnici NIS 1, která zvýšila vzájemnou spolupráci mezi členskými státy v rámci výměny strategických informací a zavedla určitě povinnosti v oblasti kybernetické bezpečnosti pro vybrané subjekty. Nová směrni
projít na článekZdroj: https://www.lupa.cz/clanky/regulace-podle-nis2-stredni-a-velke-podniky-cekaji-desitky-novych-povinnosti/ The post Regulace podle NIS2: střední a velké podniky čekají desítky nových povinností appeared first on Kučera & Associates.
projít na článekDne 16. ledna 2023 vstoupila v účinnost nová směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022, o opatřeních k zajištění společné úrovně kybernetické bezpečnosti v Unii, která nahradila dosavadní směrnici (EU) 2016/1148 (NIS1)
projít na článekCO HLEDÁME VNĚ ŠKOLY, magnetismus – dialektika – statika, kde je hranice? Začátek cesty spočívá v lidském srdci. Kam směřuje naše touha? Je zaměřena na hodnoty či na majetek, který nám má ulehčit život na tomto světě? Anebo směřuje k něčemu většímu, dale
projít na článekpravniprostor.cz Jak nastavit vnitřní oznamovací systém, jeho sdílení a outsourcing? Novinky související s aktuálně přijatým zákonem o ochraně oznamovatelů (tzv. whistleblowerů) naleznete v tomto článku.
projít na článek