Pátek 21. června 2024
ikona hodiny12. 11. 2023 07:26

Nový kybernetický zákon je za rohem

A dopadne téměř na každého

Informační (kybernetická) bezpečnost je velkým tématem, které nás bude provázet mnoho následujících roků, až se stane běžnou součástí našeho života na stejné úrovni, jako jsme zvyklí zamykat domy a nepouštět k sobě neznámé osoby.

Kateřina Hůtová autor

manažerka informační bezpečnosti a zakladatelka konzultační společnosti Cybrela

Foto: Shutterstock.com Foto: Shutterstock.com

Jaké jsou základy kybernetické bezpečnosti? Jak nastavit kybernetickou bezpečnost ve vaší společnosti, aby byla pro byznysová, a jak ji budovat, aby to byl váš štít, který zmírní následky incidentů, které se dějí každý den? Základním předpokladem je, že kybernetická bezpečnost by měla být v zájmu společností i jednotlivce, ať už budou spadat pod legislativní rámec kybernetické bezpečnosti, či ne. Pokud ale chceme jít cestou nejmenšího odporu, prvotním krokem s ohledem na návrhy nové legislativy je určení, jestli budete spadat pod návrh nové legislativy, či nikoliv. A pozor – máte povinnost se určit sami, což je změna proti nynějšímu zákonu, kdy vás určil NÚKIB.

Důležité body

  • Podívejte se na návrh vyhlášky o regulovaných službách – zde jsou vypsané činnosti, obory, které pod tuto novou legislativu budou spadat.
  • Věnujte pozornost velikosti podniku. Legislativa primárně (jsou zde výjimky) dopadá na střední a velké společnosti, ale pozor – do výpočtu se započítávají i mateřské, dceřiné a další společnosti skupiny.
  • Pokud jste držitel licence, mohou se vás týkat další případné povinnosti.

Není to jen o službách

Podívejte se pozorně na celý seznam regulovaných služeb, protože směrnice se netýká jen těch, které tvoří hlavní předmět vašeho podnikání, ale jakýchkoliv jiných činností, které ve společnosti činíte. A není zde vždy pravidlo, že službu musíte poskytovat třetí straně. Typickým příkladem je fotovoltaika – i když ji využíváte pouze pro vlastní potřeby, pokud máte licenci vztahující se k fotovoltaice a máte nad 50 zaměstnanců, spadáte pod návrh nové legislativy v kategorii energetika, i když v ní primárně nepodnikáte. Doporučujeme také vyzkoušet webovou aplikaci urci.se, kde si můžete vyzkoušet, zda pod legislativu spadáte. Při využití pamatujte, že aplikace je spíše informativní, není nahrazením právní rady a výsledek není závazný, takže pokud vám vyjde ve výsledku, že nespadáte, ptejte se, zda jste opravdu prozkoušeli všechny služby, které děláte. Co fotovoltaika, co odpadové hospodářství? A pokud opravdu pod směrnici nespadáte, nejste například významní dodavatelé pro své zákazníky? Nebudou po vás oni stejně chtít prokázání alespoň základů kybernetické bezpečnosti? Prohlášení o aplikovatelnosti, základní risk analýza či disaster recovery plány se vám zkrátka hodí, i když primárně nemusíte naplňovat legislativu.

 

Foto: Cybrela Kateřina Hůtová, manažerka informační bezpečnosti a zakladatelka konzultační společnosti Cybrela Foto: Cybrela

Co je druhý krok?

Udělejte si Gap analýzu – čili analýzu toho, jaké opatření již dneska máte ve společnosti zavedeno. Věřte mi, nezačínáte od úplné nuly. Je tu např. GDPR, vytváříte účty a přidělujete oprávnění, máte firewall a podobně. To, co již máte, musíte komparovat s tím, jaké nové povinnosti se k vám budou vztahovat nebo jaký cílený stav si zvolíte. Na základě Gap analýzy je pak krok třetí, udělejte si road mapu toho, co kdy musíte splnit, jaké na to budete potřebovat finance. Čím dřív se začne, tím pomalejší a klidnější tempo můžete nasadit a nemusíte vše dohánět na poslední chvíli.

CYBRELA

Konzultační společnost, která se zaměřuje na poskytování poradenství v oblasti informační a kybernetické bezpečnosti.

Hlavním pilířem je risk management

Ke kybernetické bezpečnosti přistupujte tak, abyste eliminovali rizika, která by pro vás mohla mít fatální dopad za použití přiměřených prostředků. Risk management, to je selský rozum na papíře. Nebojte se ho, napište si, jaké základní procesy, služby, informace potřebujete a ve své společnosti máte, a na ně si upřímně navažte znatelnosti a hrozby. Risk analýza vám pak dá ucelený pohled na to, co se vám může stát, a společně s výsledky Gap analýzy máte jasný maják, který ukazuje cestu, kudy se vydat. A poslední rada, zvažte si, jestli se vám vyplatí některé úkoly outsourcovat konzultantům na kybernetickou bezpečnost nebo investovat do vzdělávání vlastních zaměstnanců. Nikdo nebude vaší společnosti rozumět tak jako vaši zaměstnanci. Nejlepší cesta je postupně zaučovat zaměstnance a kooperovat je v konzultanty, kteří vám pomohou či vás vedou v začátcích. Žádný konzultant vám nezabezpečí společnost sám, bez vás to zkrátka nikdy nebude efektivní

Nejnovější články

Cestovní ruch
Pražské zastupitelstvo schválilo novou strategii cestovní ruchu

Součástí strategie na roky 2024–2027 jsou i konkrétní...

Vyhodnocení Koncepce příjezdového cestovního ruchu Zájmy Prahy na...

Pohled z praxe
Digitalizace HR: Trend, který mění svět podnikání

Firmy se primárně zaměřují na digitalizaci výroby a...

„Pokud personální oddělení stále využívá převážně papírové dokumenty,...

Nové technologie se v HR aktuálně využívají v rámci...

Analýzy
Stavby se prodražují kvůli neočekávaným nákladům

Z průzkumu společnosti CEEC Research vyplývá, že 26...

Klíčovou roli v regulaci stavebního procesu, a tedy...

Dobré i špatné zkušenosti s řešením neočekávaných nákladů u...

Údaje vycházejí z Kvartální analýzy českého stavebnictví Q2/2024 zpracované...

Nejnovější Expertní pohled

Pohled z praxe
Digitalizace HR: Trend, který mění svět podnikání

Firmy se primárně zaměřují na digitalizaci výroby a...

„Pokud personální oddělení stále využívá převážně papírové dokumenty,...

Nové technologie se v HR aktuálně využívají v rámci...

Analýzy
Stavby se prodražují kvůli neočekávaným nákladům

Z průzkumu společnosti CEEC Research vyplývá, že 26...

Klíčovou roli v regulaci stavebního procesu, a tedy...

Dobré i špatné zkušenosti s řešením neočekávaných nákladů u...

Údaje vycházejí z Kvartální analýzy českého stavebnictví Q2/2024 zpracované...

Expertní pohled
Nečekaný způsob, jak eliminovat kyberbezpečnostní hrozby

Firmy totiž často nastavují a spravují své počítačové...

Jako prevence před napadením sítě je nutné znát...