Nový kybernetický zákon je za rohem

Jaké jsou základy kybernetické bezpečnosti? Jak nastavit kybernetickou bezpečnost ve vaší společnosti, aby byla pro byznysová, a jak ji budovat, aby to byl váš štít, který zmírní následky incidentů, které se dějí každý den? Základním předpokladem je, že kybernetická bezpečnost by měla být v zájmu společností i jednotlivce, ať už budou spadat pod legislativní rámec kybernetické bezpečnosti, či ne. Pokud ale chceme jít cestou nejmenšího odporu, prvotním krokem s ohledem na návrhy nové legislativy je určení, jestli budete spadat pod návrh nové legislativy, či nikoliv. A pozor – máte povinnost se určit sami, což je změna proti nynějšímu zákonu, kdy vás určil NÚKIB.

Není to jen o službách

Podívejte se pozorně na celý seznam regulovaných služeb, protože směrnice se netýká jen těch, které tvoří hlavní předmět vašeho podnikání, ale jakýchkoliv jiných činností, které ve společnosti činíte. A není zde vždy pravidlo, že službu musíte poskytovat třetí straně. Typickým příkladem je fotovoltaika – i když ji využíváte pouze pro vlastní potřeby, pokud máte licenci vztahující se k fotovoltaice a máte nad 50 zaměstnanců, spadáte pod návrh nové legislativy v kategorii energetika, i když v ní primárně nepodnikáte. Doporučujeme také vyzkoušet webovou aplikaci urci.se, kde si můžete vyzkoušet, zda pod legislativu spadáte. Při využití pamatujte, že aplikace je spíše informativní, není nahrazením právní rady a výsledek není závazný, takže pokud vám vyjde ve výsledku, že nespadáte, ptejte se, zda jste opravdu prozkoušeli všechny služby, které děláte. Co fotovoltaika, co odpadové hospodářství? A pokud opravdu pod směrnici nespadáte, nejste například významní dodavatelé pro své zákazníky? Nebudou po vás oni stejně chtít prokázání alespoň základů kybernetické bezpečnosti? Prohlášení o aplikovatelnosti, základní risk analýza či disaster recovery plány se vám zkrátka hodí, i když primárně nemusíte naplňovat legislativu.

Co je druhý krok?

Udělejte si Gap analýzu – čili analýzu toho, jaké opatření již dneska máte ve společnosti zavedeno. Věřte mi, nezačínáte od úplné nuly. Je tu např. GDPR, vytváříte účty a přidělujete oprávnění, máte firewall a podobně. To, co již máte, musíte komparovat s tím, jaké nové povinnosti se k vám budou vztahovat nebo jaký cílený stav si zvolíte. Na základě Gap analýzy je pak krok třetí, udělejte si road mapu toho, co kdy musíte splnit, jaké na to budete potřebovat finance. Čím dřív se začne, tím pomalejší a klidnější tempo můžete nasadit a nemusíte vše dohánět na poslední chvíli.

Hlavním pilířem je risk management

Ke kybernetické bezpečnosti přistupujte tak, abyste eliminovali rizika, která by pro vás mohla mít fatální dopad za použití přiměřených prostředků. Risk management, to je selský rozum na papíře. Nebojte se ho, napište si, jaké základní procesy, služby, informace potřebujete a ve své společnosti máte, a na ně si upřímně navažte znatelnosti a hrozby. Risk analýza vám pak dá ucelený pohled na to, co se vám může stát, a společně s výsledky Gap analýzy máte jasný maják, který ukazuje cestu, kudy se vydat. A poslední rada, zvažte si, jestli se vám vyplatí některé úkoly outsourcovat konzultantům na kybernetickou bezpečnost nebo investovat do vzdělávání vlastních zaměstnanců. Nikdo nebude vaší společnosti rozumět tak jako vaši zaměstnanci. Nejlepší cesta je postupně zaučovat zaměstnance a kooperovat je v konzultanty, kteří vám pomohou či vás vedou v začátcích. Žádný konzultant vám nezabezpečí společnost sám, bez vás to zkrátka nikdy nebude efektivní