Nový zákon o kybernetické bezpečnosti by měl podle předpokladů začít platit začátkem roku 2025. Zákon poskytne roční přechodnou lhůtu pro přizpůsobení se novým požadavkům a zahájení plnění některých povinností. Vybrané požadavky zákona (např. povinnost plnit protiopatření NÚKIB nebo hlásit kontaktní údaje a jejich změny) bude potřeba začít plnit již začátkem roku 2025, zbylé pak v začátkem roku 2026. Tato relativně dlouhá doba však neznamená, že by organizace, které budou povinnými subjekty podle nového zákona, měly do té doby připravovanou legislativu opomíjet a čekat se zahájením prací až na její finální přijetí.

Organizacím, které budou spadat pod nový zákon, NÚKIB doporučuje co nejdříve zahájit přípravné práce na přizpůsobení svého vnitřního prostředí novým požadavkům. Zavedení funkčního procesu řízení kybernetické bezpečnosti v organizaci je záležitost několika měsíců až let. Obzvláště u těch organizací, které budou spadat do tzv. režimu vyšších povinností a které dosud kybernetickou bezpečnost ve své organizaci systematicky neřešily, je potřeba počítat s tím, že zavedení systému řízení bezpečnosti informací a splnění požadavků zákona a jeho prováděcích předpisů bude dlouhodobým procesem náročným na zdroje. Je tedy vhodné mít již na počátku účinnosti nové právní úpravy povědomí o tom, jaké všechny informační systémy organizace používá a v jakém stavu z hlediska kybernetické bezpečnosti se organizace nachází.

Základní povinností společnou pro oba režimy povinností je zavádění a provádění bezpečnostních opatření. Při stanovení úrovně zabezpečení a výběru konkrétních bezpečnostních opatření bude potřeba v souladu s novým zákonem a vyhláškami zohlednit specifika organizace a důležitost jednotlivých systémů a služeb (není cílem zavádět nesmyslná a nákladná řešení tam, kde to pro organizaci nemá význam). Pokud vaše organizace kybernetickou bezpečnost do této chvíle systematicky neřešila, lze doporučit jako výchozí krok především:

• zmapování aktuálního stavu organizace (tzn. audit aktuálního stavu kybernetické bezpečnosti a potenciálních slabých míst) a

• vypracování tzv. business impact analýzy (zejm. jaké by byly dopady narušení řádného fungování jednotlivých systémů na vaši organizaci; nejde přitom jen o nedostupnost používaných informačních systémů, ale i o narušení důvěrnosti nebo integrity shromažďovaných dat).

Již v této fázi je dobré se zaměřit na školení relevantních osob v organizaci. Doporučujeme základní školení pro všechny uživatele, odborné školení pro osoby, které v organizaci řeší/budou řešit kybernetickou bezpečnost a nezapomínat přitom i na vrcholový management (management si musí být vědom důležitosti řízení kybernetické bezpečnosti v organizaci).

Z technických opatření lze obecně doporučit nasadit firewally (zejména perimetrové), antiviry (zejména sofistikovanější EDR) a zálohovací řešení. Společně s prováděním aktualizací (tam, kde je to možné) se jedná o věci, které by měly být dávno běžnou součástí chodu každé organizace.

Upozorňujeme, že směrnice NIS2 neobsahuje žádné požadavky na konkrétní technické produkty či služby. Není tedy možné, aby bylo konkrétní technické řešení „v souladu s požadavky NIS2“ nebo „splňovalo NIS2“. Stejně tak neexistuje produkt, který by komplexně zajistil „splnění požadavků NIS2“. Zavádění bezpečnostních opatření je kontinuální proces, přičemž velká část bezpečnostních opatření je organizačního charakteru a musí být přizpůsobena kontextu konkrétní organizace.

Stejně tak nedoporučujeme bezhlavě nakupovat služby typu „posoudíme soulad vaší organizace s NIS2“ nebo „zavedeme vám v organizaci NIS2“. Nenechte se napálit „vševědoucími“ implementátory NIS2 na klíč. Směrnice NIS2 žádné konkrétní požadavky neupravuje, vše bude obsaženo až v novém zákoně o kybernetické bezpečnosti, který je teprve připravován.

Na druhou stranu však doporučujeme subjektům, aby se s předstihem zajímaly o to, jakým způsobem bude k plnění povinností v organizaci přistoupeno (zda vlastními silami, nebo za pomoci externích dodavatelů) a případně aby si zmapovaly trh se službami, které budou outsourcovány.

Protože bude nově do regulace kybernetické bezpečnosti spadat mnohonásobně více subjektů, lze očekávat zvýšenou poptávku po službách externích společností, a to právě zejména v době zahájení účinnosti nového zákona.

Dalším tématem je oblast finančních aspektů a nákladů spojených se směrnicí NIS2, respektive novým zákonem o kybernetické bezpečnosti.

Pokračujte kliknutím na modrou šipku na pravé straně, nebo si vyberte jedno z dalších témat v níže uvedeném rejstříku.

Rejstřík témat

1. Obecné informace o směrnici NIS2 a budoucí národní úpravě
2. Koho se nové povinnosti týkají
3. Rozdělení povinných organizací
4. Povinnost zavádět bezpečnostní opatření
5. Incidenty a způsob jejich hlášení
6. Ohlášení regulované služby a komunikace s NÚKIB
7. Způsob kontroly plnění povinností
8. Sankce a donucovací prostředky
9. Národní a mezinárodní spolupráce
10. Další specifika úpravy v České republice
11. Jak se připravit na novou právní úpravu
12. Finanční aspekty návrhu nového zákona o kybernetické bezpečnosti