neděle 10. listopadu 2024
ikona hodiny 12. 11. 2023 07:26

Nový kybernetický zákon je za rohem

A dopadne téměř na každého

Informační (kybernetická) bezpečnost je velkým tématem, které nás bude provázet mnoho následujících roků, až se stane běžnou součástí našeho života na stejné úrovni, jako jsme zvyklí zamykat domy a nepouštět k sobě neznámé osoby.

Kateřina Hůtová autor

manažerka informační bezpečnosti a zakladatelka konzultační společnosti Cybrela

Foto: Shutterstock.com
Foto: Shutterstock.com

Jaké jsou základy kybernetické bezpečnosti? Jak nastavit kybernetickou bezpečnost ve vaší společnosti, aby byla pro byznysová, a jak ji budovat, aby to byl váš štít, který zmírní následky incidentů, které se dějí každý den? Základním předpokladem je, že kybernetická bezpečnost by měla být v zájmu společností i jednotlivce, ať už budou spadat pod legislativní rámec kybernetické bezpečnosti, či ne. Pokud ale chceme jít cestou nejmenšího odporu, prvotním krokem s ohledem na návrhy nové legislativy je určení, jestli budete spadat pod návrh nové legislativy, či nikoliv. A pozor – máte povinnost se určit sami, což je změna proti nynějšímu zákonu, kdy vás určil NÚKIB.

Důležité body

  • Podívejte se na návrh vyhlášky o regulovaných službách – zde jsou vypsané činnosti, obory, které pod tuto novou legislativu budou spadat.
  • Věnujte pozornost velikosti podniku. Legislativa primárně (jsou zde výjimky) dopadá na střední a velké společnosti, ale pozor – do výpočtu se započítávají i mateřské, dceřiné a další společnosti skupiny.
  • Pokud jste držitel licence, mohou se vás týkat další případné povinnosti.

Není to jen o službách

Podívejte se pozorně na celý seznam regulovaných služeb, protože směrnice se netýká jen těch, které tvoří hlavní předmět vašeho podnikání, ale jakýchkoliv jiných činností, které ve společnosti činíte. A není zde vždy pravidlo, že službu musíte poskytovat třetí straně. Typickým příkladem je fotovoltaika – i když ji využíváte pouze pro vlastní potřeby, pokud máte licenci vztahující se k fotovoltaice a máte nad 50 zaměstnanců, spadáte pod návrh nové legislativy v kategorii energetika, i když v ní primárně nepodnikáte. Doporučujeme také vyzkoušet webovou aplikaci urci.se, kde si můžete vyzkoušet, zda pod legislativu spadáte. Při využití pamatujte, že aplikace je spíše informativní, není nahrazením právní rady a výsledek není závazný, takže pokud vám vyjde ve výsledku, že nespadáte, ptejte se, zda jste opravdu prozkoušeli všechny služby, které děláte. Co fotovoltaika, co odpadové hospodářství? A pokud opravdu pod směrnici nespadáte, nejste například významní dodavatelé pro své zákazníky? Nebudou po vás oni stejně chtít prokázání alespoň základů kybernetické bezpečnosti? Prohlášení o aplikovatelnosti, základní risk analýza či disaster recovery plány se vám zkrátka hodí, i když primárně nemusíte naplňovat legislativu.

 

Foto: Cybrela
Kateřina Hůtová, manažerka informační bezpečnosti a zakladatelka konzultační společnosti Cybrela Foto: Cybrela

Co je druhý krok?

Udělejte si Gap analýzu – čili analýzu toho, jaké opatření již dneska máte ve společnosti zavedeno. Věřte mi, nezačínáte od úplné nuly. Je tu např. GDPR, vytváříte účty a přidělujete oprávnění, máte firewall a podobně. To, co již máte, musíte komparovat s tím, jaké nové povinnosti se k vám budou vztahovat nebo jaký cílený stav si zvolíte. Na základě Gap analýzy je pak krok třetí, udělejte si road mapu toho, co kdy musíte splnit, jaké na to budete potřebovat finance. Čím dřív se začne, tím pomalejší a klidnější tempo můžete nasadit a nemusíte vše dohánět na poslední chvíli.

Hlavním pilířem je risk management

Ke kybernetické bezpečnosti přistupujte tak, abyste eliminovali rizika, která by pro vás mohla mít fatální dopad za použití přiměřených prostředků. Risk management, to je selský rozum na papíře. Nebojte se ho, napište si, jaké základní procesy, služby, informace potřebujete a ve své společnosti máte, a na ně si upřímně navažte znatelnosti a hrozby. Risk analýza vám pak dá ucelený pohled na to, co se vám může stát, a společně s výsledky Gap analýzy máte jasný maják, který ukazuje cestu, kudy se vydat. A poslední rada, zvažte si, jestli se vám vyplatí některé úkoly outsourcovat konzultantům na kybernetickou bezpečnost nebo investovat do vzdělávání vlastních zaměstnanců. Nikdo nebude vaší společnosti rozumět tak jako vaši zaměstnanci. Nejlepší cesta je postupně zaučovat zaměstnance a kooperovat je v konzultanty, kteří vám pomohou či vás vedou v začátcích. Žádný konzultant vám nezabezpečí společnost sám, bez vás to zkrátka nikdy nebude efektivní

Články autora Kateřina Hůtová

Nejnovější články

Aktuality

Konec zbytečné byrokracie pro zaměstnavatele!

Vláda schválila dlouho očekávanou novelu zákona o specifických...
Aktuality

Hospodářská komora nabízí regulaci telemarketingu

Hospodářská komora ČR potvrdila, že je připravena převzít...
Pohled z praxe

Obchodníci odmítají dezinformace ohledně cen másla

Obchodní řetězce se důrazně ohrazují proti tvrzením Potravinářské...

Nejnovější Expertní pohled

Expertní pohled

Co dnes musí člověk umět, aby byl úspěšný v práci?

Aby se člověk dnes prosadil v práci, je...
Expertní pohled

Počet kyberútoků vzrostl o 75 % a dosáhl historického maxima

Kyberbezpečnostní společnost Check Point Software Technologies zveřejnila novou...
Aktuality

Jak výkonová elektronika utváří budoucnost energetiky

Tento rok si připomínáme 70. výročí technologie vysokonapěťového...