Vrcholový management bude muset povinně absolvovat školení, aby získal základní přehled o svých povinnostech. Toto školení by mělo být v souladu s plánem rozvoje bezpečnostního povědomí. Vrcholový management by měl být informováno o svých povinnostech a seznámeno s bezpečnostní politikou, zejména v oblastech systému řízení bezpečnosti informací (ISMS) a řízení rizik.

Architekt kybernetické bezpečnosti je dle § 6 odst. 3 Vyhlášky bezpečnostní rolí odpovědnou za zajištění návrhu implementace bezpečnostních opatření tak, aby byla zajištěna bezpečná architektura regulované služby.

Výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s navrhováním implementace bezpečnostních opatření a zajišťováním bezpečné architektury po dobu nejméně tří let, nebo po dobu jednoho roku, pokud absolvovala studium na vysoké škole.

Vrcholný management má povinnost zajistit zastupitelnost této bezpečnostní role.

Auditor kybernetické bezpečnosti je dle vyhlášky bezpečnostní rolí odpovědnou za provádění auditu kybernetické bezpečnosti.

Výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti nebo auditů systému řízení bezpečnosti informací (ISMS) po dobu nejméně tří let, nebo po dobu jednoho roku, pokud absolvovala studium na vysoké škole. Auditor kybernetické bezpečnosti nesmí být pověřen výkonem jiných bezpečnostních rolí a musí dále zaručovat, že provedení auditu kybernetické bezpečnosti je nestranné.

Bezpečnostní politika je strategický dokument, který stanovuje základní pravidla, zásady, cíle a postupy organizace v oblasti řízení bezpečnosti informací. Slouží jako rámec pro ochranu důvěrnosti, integrity a dostupnosti informací a dat, a to v souladu s právními a regulačními požadavky.

Cíle bezpečnostní politiky:

• Stanovit jasná pravidla a postupy pro řízení kybernetické bezpečnosti.

• Definovat odpovědnosti a role v oblasti bezpečnosti informací.

• Zajistit, aby bezpečnostní opatření byla v souladu s potřebami organizace a regulatorními požadavky.

• Zajistit pravidelnou aktualizaci a přizpůsobení bezpečnostních opatření podle měnících se rizik.

Cíle ISMS musí odrážet cíle celé organizace. Při jejich stanovení je vhodné využít metodu SMART. SMART kritéria pomáhají efektivně stanovit cíle tak, aby byly konkrétní, měřitelné, dosažitelné, relevantní a časově ohraničené.

Garant aktiva je dle vyhlášky bezpečnostní rolí odpovědnou za zajištění rozvoje, použití a bezpečnosti aktiva.

V případě změn nebo aktualizací je nutné hlásit na NÚKIB následující informace:

Změny v kontaktních údajích: Nová jména, telefonní čísla, e-mailové adresy nebo jiné údaje odpovědných osob.

Změny v poskytované službě: Zahájení, ukončení nebo změna charakteru regulovaných služeb spadajících pod kybernetickou bezpečnost.

Změny v organizační struktuře: Reorganizace nebo změna odpovědností, které mohou ovlivnit kybernetickou bezpečnost.

Změny v technických systémech: Nasazení nových technologií, systémů nebo zásadních změn stávajících bezpečnostních opatření.

Kybernetické incidenty a reakce: Jakékoliv aktualizace ohledně probíhajících incidentů, nově zjištěné okolnosti nebo přijatá protiopatření.

Hlásit je nutné také plánované nebo mimořádné situace, které mohou ovlivnit schopnost plnit povinnosti podle zákona o kybernetické bezpečnosti.

Bezpečnostní role definovány v § 5 odst. 6 vyhlášky pro režim vyšších povinností. Jsou to:

a) Manažer kybernetické bezpečnosti

b) Architekt kybernetické bezpečnosti

c) Garant(i) aktiv(a)

d) Auditor kybernetické bezpečnosti

Vrcholový management má povinnost určit osoby, které budou zastávat tyto bezpečnostní role, určit jejich práva a povinnosti související s ISMS a dále je podporovat při prosazování kybernetické bezpečnosti v oblastech jejich odpovědnosti. V případě Manažera kybernetické bezpečnosti a Architekta kybernetické bezpečnosti má vrcholový management navíc povinnost zajistit zastupitelnost těchto bezpečnostních rolí. Dále musí vrcholový pro osoby zastávající bezpečnostní role zajistit zdroje včetně rozpočtových prostředků k naplňování jejich rolí a plnění souvisejících úkolů.

Kybernetickou bezpečnostní událostí je událost, která může vyústit v kybernetický bezpečnostní incident. (např. vstup neoprávněné osoby do zastřežených prostor.)

Kybernetickým bezpečnostním incidentem se rozumí narušení bezpečnosti informací v kybernetickém prostoru. (např. vstup neoprávněné osoby do zastřežených prostor a následné poškození serveru).

Manažer kybernetické bezpečnosti je dle § 6 odst. 2 Vyhlášky bezpečnostní rolí odpovědnou za systém řízení bezpečnosti informací a dále odpovídá za pravidelné informování vrcholový management o činnostech vyplývajících z rozsahu jeho odpovědnosti a o stavu systému řízení bezpečnosti informací.

Výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením kybernetické bezpečnosti nebo s řízením bezpečnosti informací po dobu nejméně tří let, nebo po dobu jednoho roku, pokud absolvovala studium na vysoké škole.

Manažer kybernetické bezpečnosti nesmí být pověřen výkonem rolí odpovědných za provoz technických aktiv regulované služby. Vrcholový management má povinnost zajistit zastupitelnost této bezpečnostní role.

Poskytovatel regulované služby zjistí, zda některá z jeho služeb splňuje podmínky pro registraci regulované služby a do 60 dnů ohlásí tuto regulovanou službu prostřednictvím Portálu NÚKIB. V reakci na to NÚKIB zašle rozhodnutí o registraci regulované služby. Poskytovatel regulované služby následně do 30 dnů od doručení tohoto rozhodnutí zasílá hlášení kontaktních a dalších údajů opět prostřednictvím Portálu NÚKIB: Odkaz.

K naplnění cílů a politiky řízení kontinuity činností dle vyhlášky pro režim vyšších povinností je stanovena povinnost vypracovat plány kontinuity činností. Tyto plány je nutné pravidelně aktualizovat a testovat, aby byly v případě situace, která vyžaduje jejich aktivaci, využitelné a zainteresované osoby znaly své pravomoci, odpovědnosti a povinnosti a aby celý proces fungoval bez časových průtahů, které by mohly mít negativní dopad na celou situaci a její zvládání. 

Plán kontinuity činností by měl pokrývat:

- Podmínky aktivace plánu

- Specifikaci osob, které se plánem mají řídit a jejich práva a povinnosti

- Dočasná řešení a postupy pro zajištění kontinuity služby v případě realizace krizového scénáře

Plán obnovy slouží k detailnímu řízení obnovy systémů, dat a služeb po incidentu, který narušil jejich dostupnost. Jeho pravidelná aktualizace a testování zajišťuje připravenost na krizové situace a minimalizuje negativní dopady na organizaci. Plán obnovy by měl pokrývat:

- Detailní postupy pro obnovení dat včetně pořadí činností, odpovědných osob, potřebného času a zdrojů.

- Způsob ověření úspěšného obnovení dat ze zálohy.

- Umístění a popis záloh.

Portál NÚKIB je platforma spravovaná NÚKIB, která slouží zejména k plnění některých povinností v oblasti kybernetické bezpečnosti. Jejím hlavním cílem je sdílení informací potřebných k zabezpečení kybernetického prostoru mezi NÚKIB, jeho konstituencí, partnery a dalšími subjekty. Platforma zároveň umožňuje výměnu informací mezi těmito subjekty. Úřad v rámci Portálu NÚKIB zpřístupní formuláře pro

a) ohlášení regulované služby podle § 6 nZKB,

b) ohlášení změny regulované služby podle § 9 nZKB,

c) žádost o zrušení registrace regulované služby podle § 10 nZKB,

d) hlášení údajů podle § 11 nZKB,

e) hlášení incidentů podle § 15 a 16 nZKB,

f) hlášení provedení reaktivního protiopatření podle § 23 nZKB,

g) hlášení informací o dodavatelích podle § 31 nZKB, a

h) hlášení provedení nápravného opatření podle § 56 nZKB.

Organizace musí stanovit jasná kritéria pro výběr osob, které budou zastávat administrátorské a bezpečnostní role. Tato kritéria musí mimo jiné zahrnovat i požadavky uvedené v příloze č. 5 vyhlášky pro vyšší režim, kde jsou specifikovány požadavky na jednotlivé bezpečnostní role.

Regulovaná služba je taková služba, která má významný vliv na každodenní životy a která musí být dle nZKB zabezpečena před kybernetickými incidenty.

Proč jsou některé služby regulované? 

Důležitost pro společnost: Tyto služby a odvětví jsou nezbytné pro fungování naší společnosti (např. energetika, doprava, zdravotnictví, ale i telekomunikace).

Pokud by došlo k narušení těchto služeb, mohlo by to mít vážné následky pro jednotlivce i celou společnost. Představte si, co by se stalo, kdyby přestala fungovat elektřina nebo připojení k internetu.

Veškeré informace k nZKB a problematice regulovaných služeb lze nalézt na Portálu NÚKIB, kde lze využít i zjednodušenou interaktivní kalkulačku, která na základě Vámi zadaných údajů posoudí, zda budete pravděpodobně spadat pod regulaci dle nZKB, případně do jakého režimu povinností. Odkaz

Zprávy o přezkoumání systému řízení bezpečnosti informací. 

• Dokumentace obsahující výsledky pravidelného přezkoumání systému řízení bezpečnosti informací (ISMS) vedením organizace. Zpráva hodnotí účinnost ISMS, jeho shodu s požadavky dle vyhlášky pro režim vyšších povinností, plnění stanovených cílů a obsahuje doporučení pro zlepšení systému.
• Politika systému řízení bezpečnosti informací musí být přezkoumána manažerem kybernetické bezpečnosti minimálně 1x za rok. I v případě, že nedojde k žádným změnám, musí být u verze uvedeno datum přezkoumání.

Výsledky hodnocení rizik. 

• Dokumentovaný výstup procesu identifikace, analýzy a vyhodnocení rizik, který zahrnuje přehled nalezených hrozeb, zranitelností, odhadovaných dopadů a pravděpodobností jejich realizace, včetně doporučení pro jejich zmírnění. 

Výstupy z auditů kybernetické bezpečnosti. 

• Souhrnné zprávy nebo zjištění, které dokumentují stav implementace bezpečnostních opatření, shodu s legislativními požadavky a normami, včetně identifikace nedostatků a doporučení pro zlepšení.

Analýzy dopadů kybernetických bezpečnostních incidentů.

• Hodnocení potenciálních nebo skutečných následků kybernetických bezpečnostních incidentů na provoz organizace, její majetek, informace nebo reputace, zahrnující finanční, právní a provozní aspekty.

Odkaz na podpůrný materiál a krátká popis. (materiál ve výrobě)

Ohlášení a registrace regulované služby NÚKIB

Povinnost oznámit poskytování služeb spadajících pod regulaci kybernetické bezpečnosti, a to do 60 dnů od doby, kdy začala daná služba podmínky splňovat. Jde o takovou službu, která naplňuje kritéria daná vyhláškou o regulovaných službách. V odpovědi od NÚKIB přijde rozhodnutí o registraci regulované služby. 

Hlášení kontaktních a dalších údajů

Identifikace a nahlášení klíčových kontaktních osob a doplňujících údajů, které je nutné splnit do 30 dnů od doručení rozhodnutí o registraci regulované služby. Stěžejní je nahlásit kontaktní osobu, která bude s NÚKIB operativně komunikovat na pracovní úrovni, např. hlásit incidenty a podobně. 

Stanovení rozsahu řízení KB

Vizte Stanovený rozsah řízení KB

Zavádění a provádění bezpečnostních opatření

Implementace konkrétních technických a organizačních bezpečnostních opatření v míře nezbytné pro zajištění KB regulované služby. Obsah bezpečnostních opatření a způsob jejich zavádění a provádění je stanoven vyhláškou o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností.

Zvládání kybernetických bezpečnostních incidentů

Poskytovatelé regulovaných služeb musí mít plán, jakým způsobem budou zvládat případné kybernetické bezpečnostní incidenty a také nastavený proces pro splnění povinnosti hlásit kybernetické bezpečnostní incidenty NÚKIB.

Poskytování součinnosti v rámci vydaných protiopatření

Mezi protiopatření se řadí výstraha, varování a reaktivní protiopatření, v rámci kterých musí být NÚKIB poskytnuta náležitá součinnost. Ta spočívá zejména v tom řídit se pokyny danými v daném protiopatření – například zohlednit některou hrozbu, vůči které NÚKIB varuje.

Systém řízení bezpečnosti informací (ISMS) je komplexní soubor politik, procesů, postupů a bezpečnostních opatření zavedených za účelem ochrany důvěrnosti, integrity a dostupnosti informací. Slouží k efektivnímu řízení rizik spojených s aktivy organizace a zajištění souladu s právními a regulačními požadavky v oblasti kybernetické bezpečnosti.

Tento systém zahrnuje zavádění přiměřených technických i organizačních bezpečnostních opatření na základě řízení rizik.

V organizaci musí probíhat pravidelné školení všech zaměstnanců v oblasti KB, lze využít např. e-learningový kurz Dávej kyber od NÚKIB. Seznamování zaměstnanců s bezpečnostními politikami může probíhat např. zveřejněním politiky ve vašem intranetu a následným potvrzením o seznámení ze strany zaměstnance.

Výbor pro řízení kybernetické bezpečnosti je orgánem zřízeným za účelem koordinace, rozvoje a monitoringu ISMS v organizaci. Mezi jeho hlavní povinnosti patří:

• Stanovování a přezkoumávání politik a plnění plánovaných cílů. • Dohled nad implementací a stavem bezpečnostních opatření v souladu s platnou legislativou a normami.

• Hodnocení výsledků auditů, analýz rizik a incidentů v oblasti kybernetické bezpečnosti.

• Podpora kontinuálního zlepšování ISMS. 

Členové výboru: 

Povinní členové:

• Zástupce vrcholového managementu organizace nebo osoba jím pověřená, zajišťující vazbu na rozhodovací procesy a podporu ze strany vedení.

• Manažer kybernetické bezpečnosti, odpovědný za implementaci a dohled nad ISMS.

Dále doporučujeme v případě potřeby účast těchto osob:

• Další bezpečnostní role (architekt KB a auditor KB).

• Odborníci na informační technologie a kybernetickou bezpečnost, případně zástupci zodpovědní za konkrétní aktiva (garanti aktiv).

• Další členové dle specifických potřeb organizace (například zástupci právního, provozního nebo finančního oddělení).

Pravidla scházení:

• Výbor se schází pravidelně a ad-hoc v případě potřeby (např. při závažných kybernetických bezpečnostních incidentech).

• Ze všech schůzí je veden dokumentovaný záznam obsahující všechna rozhodnutí, návrhy opatření a jejich stav realizace.

• Zajištění zastupitelnosti klíčových rolí, zejména manažera kybernetické bezpečnosti, aby byla zachována kontinuita činností výboru.

V České republice je kybernetická bezpečnost regulována zejména Zákonem o kybernetické bezpečnosti (dále jen „nZKB“), který rozděluje poskytovatele regulované služby do dvou režimů – vyššího a nižšího. Pro každý z těchto režimů existuje samostatná vyhláška. 

• Pro vyšší režim je to Vyhláška NUMBER/2025 Sb. o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností. 

• Pro nižší režim Vyhláška NUMBER/2025 Sb. o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností. 

V těchto vyhláškách jsou specifikována bezpečnostní opatření, která mají poskytovatelé regulované služby zavádět pro zajištění adekvátní bezpečnosti regulované služby.

Pro dosažení efektivní ochrany naší IT infrastruktury a dat je nezbytné zajistit dostatečné finanční, personální a technologické zdroje. Tento požadavek zahrnuje: 

1. Finanční zdroje: Vyhrazení adekvátního rozpočtu na bezpečnostní technologie, školení zaměstnanců a pravidelné audity.

2. Personální kapacity: Zajištění odborně vyškoleného personálu pro implementaci a správu bezpečnostních opatření.

3. Technologické zdroje: Investice do moderních nástrojů, jako jsou firewally, systémy detekce hrozeb a šifrování.

Klíčovým cílem je dosáhnout rovnováhy mezi náklady a efektivitou ochrany, aby byla minimalizována rizika a náklady na případné kybernetické incidenty.