Poskytovatel regulované služby v režimu nižších povinností je povinen hlásit národnímu CERT kybernetické bezpečnostní incidenty, které mají původ v kybernetickém prostoru, mají významný dopad na poskytování regulované služby a nelze u nich ve lhůtě do 24 hodin vyloučit úmyslné zavinění. Tato hlášení se provádějí rovněž prostřednictvím Portálu NÚKIB, pouze je zpracovává jiný CERT tým – národní CERT.

V případě změn nebo aktualizací je nutné hlásit na NÚKIB následující informace: 

Změny v kontaktních údajích: Nová jména, telefonní čísla, e-mailové adresy nebo jiné údaje odpovědných osob.

Změny v poskytované službě: Zahájení, ukončení nebo změna charakteru regulovaných služeb spadajících pod kybernetickou bezpečnost.

Změny v organizační struktuře: Reorganizace nebo změna odpovědností, které mohou ovlivnit kybernetickou bezpečnost. 

Změny v technických systémech: Nasazení nových technologií, systémů nebo zásadních změn stávajících bezpečnostních opatření.

Kybernetické incidenty a reakce: Jakékoliv aktualizace ohledně probíhajících incidentů, nově zjištěné okolnosti nebo přijatá protiopatření. 

Hlásit je nutné také plánované nebo mimořádné situace, které mohou ovlivnit schopnost plnit povinnosti podle Zákona o kybernetické bezpečnosti

Národním tým koordinace a zvládání kybernetických bezpečnostních incidentů, událostí a hrozeb. Pro nahlašování kybernetických bezpečnostních incidentů využijte Portál NÚKIB.

Mezi neopominutelné § vyhlášky, tedy §, kterými se musíte v přiměřené míře vždy řídit, se řadí:

§ 4 – Systém zajišťování minimální kybernetické bezpečnosti 

1. Zpracování přehledu bezpečnostních opatření: 

o Seznam zavedených opatření a jejich popis.

o Seznam opatření k zavedení (termíny, priority, odpovědné osoby).

o Odůvodnění nezavedení některých opatření. 

2. Vyhodnocování účinnosti opatření: 

o Provádět minimálně jednou ročně a dokumentovat. 

3. Osoba pověřená kybernetickou bezpečností

o Určení, školení nebo ověření odborné způsobilosti.

4. Bezpečnostní politika a dokumentace:

o Stanovení, pravidelná aktualizace a vynucování dodržování.

5. Řízení technických aktiv:

o Stanovit pravidla pro používání a manipulaci.

6. Dodavatelské smlouvy:

o Zahrnutí bezpečnostních požadavků podle přílohy č. 2.

7. Bezpečnost při akvizici a vývoji:

o Stanovit bezpečnostní požadavky pro aktiva a jejich dodržování.

§ 5 – Požadavky na vrcholový management

1. Absolvování školení o kybernetické bezpečnosti.

2. Zajištění zdrojů pro zavedení opatření.

3. Seznamování se stavem plnění opatření.

4. Podpora zlepšování bezpečnosti a osoby pověřené kybernetickou bezpečností.

5. Stanovení priorit obnovy primárních aktiv.

§ 6 – Bezpečnost lidských zdrojů

1. Politika bezpečného chování uživatelů:

o Tvorba pravidel, rozvoj povědomí a heslových pravidel.

2. Školení:

o Vstupní a pravidelná školení uživatelů, administrátorů a vedení.

3. Řešení porušení bezpečnostní politiky:

o Stanovení postupů pro řešení porušení.

4. Evidence školení a proškolených osob. 

§ 7 – Řízení kontinuity činností

1. Stanovení priorit obnovy technických aktiv.

2. Definování odpovědností a povinností pro kontinuitu činností.

3. Pravidelné zálohování nezbytných dat, konfigurací a nastavení.

§ 11 – Řešení kybernetických bezpečnostních incidentů

1. Oznamování incidentů:

o Zaměstnanci mají povinnost oznamovat podezřelé chování technických aktiv.

2. Metodika posuzování incidentů:

o Hodnocení významnosti dopadu a řešení incidentů.

3. Detekce a hlášení incidentů:

o Zajištění detekce, hlášení a zpracování závěrečných zpráv.

4. Závěrečná zpráva:

o Popis příčin a vyřešení incidentu s významným dopadem.

Formulář pro registraci subjektů: Poskytovatel regulované služby zjistí, zda některá z jeho služeb splňuje podmínky pro registraci regulované služby a do 60 dnů ohlásí tuto regulovanou službu prostřednictvím Portálu NÚKIB. V reakci na to NÚKIB zašle rozhodnutí o registraci regulované služby. Poskytovatel regulované služby následně do 30 dnů od doručení tohoto rozhodnutí zasílá hlášení kontaktních a dalších údajů opět prostřednictvím Portálu NÚKIB. 

https://portal.nukib.gov.cz/chci-vyridit/registrace-organizace-do-portalu-nukib

Portál NÚKIB (dříve Neveřejný web) je platformou NÚKIB, jehož prostřednictvím plní Úřad některé jemu svěřené úkoly v oblasti kybernetické bezpečnosti. Účelem platformy je především sdílení informací k zabezpečení kybernetického prostoru mezi NÚKIB, jeho konstituencí, partnery a také mezi těmito subjekty navzájem. S příchodem nového zákona o kybernetické bezpečnosti je Portál NÚKIB rozšířen o další aplikace a stane se z něj platforma, kde budete moct provádět všechny zákonné požadavky vycházející z nového zákona o kybernetické bezpečnosti jako například registraci subjektu, hlášení kontaktních údajů, hlášení incidentů atd.

a) ohlášení regulované služby podle § 6 zákona,

b) ohlášení změny regulované služby podle § 9 zákona,

c) žádost o zrušení registrace regulované služby § 10 zákona,

d) hlášení údajů podle § 11 zákona,

e) hlášení incidentů podle § 15 a 16 zákona,

f) hlášení provedení reaktivního protiopatření podle § 23 zákona,

g) hlášení informací o dodavatelích podle § 31 zákona, a

h) hlášení provedení nápravného opatření podle § 56 zákona.

Účel dokumentu

• Popis aktuálního stavu bezpečnostních opatření organizace.

• Systematického a řízený přístup k implementaci bezpečnostních opatření.

• Zajištění přehledu a kontinuálního zlepšování kybernetické bezpečnosti. 

 Obsah dokumentu

• Přehled zavedených bezpečnostních opatření: Popis a způsob implementace.

• Přehled plánovaných opatření: Termíny, priority, odpovědné osoby.

• Přehled nezavedených opatření: Odůvodnění, proč nebyla zavedena.

Další požadavky a doporučení

• Aktualizovat minimálně jednou ročně.

• Zpracovat dokument podle přílohy č. 1 vyhlášky.

• Musí být uchováván minimálně 4 roky, včetně verzí schválených vedením.

• Dokumenty musí být zpětně přezkoumatelné a doložitelné.

• Doporučení: Využít výsledky auditů, vyhodnocení účinnosti a dopady incidentů.

Vrcholný management musí stanovit prioritu obnovy primárních aktiv.

• Zohlední dopad jednotlivých primárních aktiv na hlavní činnosti organizace a její předmět činnosti.

• Stanovení priorit slouží zejména pro zajištění kontinuity činností. 

Příklad:

Pokud organizace poskytuje internetové služby, vedení stanoví jako prioritu obnovu datových center před vlastními administrativními systémy na zpracovávání objednávek klientů, protože nefunkčnost datových center by měla okamžitý negativní dopad na zákazníky dané organizace.

Výtažek z materiálů pro metodiky

Ohlášení a registrace regulované služby NÚKIB

Povinnost oznámit poskytování služeb spadajících pod regulaci kybernetické bezpečnosti, a to do 60 dnů od doby, kdy začala daná služba podmínky splňovat. Jde o takovou službu, která naplňuje kritéria daná vyhláškou o regulovaných službách. V odpovědi od NÚKIB přijde rozhodnutí o registraci regulované služby. 

Hlášení kontaktních a dalších údajů

Identifikace a nahlášení klíčových kontaktních osob a doplňujících údajů, které je nutné splnit do 30 dnů od doručení rozhodnutí o registraci regulované služby. Stěžejní je nahlásit kontaktní osobu, která bude s NÚKIB operativně komunikovat na pracovní úrovni, např. hlásit incidenty a podobně. 

Stanovení rozsahu řízení KB

Odkaz na podpůrný materiál, nebo krátká popis (ve výrobě)

Zavádění a provádění bezpečnostních opatření

Implementace konkrétních technických a organizačních bezpečnostních opatření v míře nezbytné pro zajištění KB regulované služby. Obsah bezpečnostních opatření a způsob jejich zavádění a provádění je stanoven vyhláškou.

Zvládání kybernetických bezpečnostních incidentů

Poskytovatelé regulovaných služeb musí mít plán, jakým způsobem budou zvládat případné kybernetické bezpečnostní incidenty a také nastavený proces pro splnění povinnosti hlásit kybernetický bezpečnostní incident, který má významný dopad na poskytování regulované služby.

Poskytování součinnosti v rámci vydaných protiopatření

Mezi protiopatření se řadí výstraha, varování a reaktivní protiopatření, v rámci kterých musí být NÚKIB poskytnuta náležitá součinnost. Ta spočívá zejména v tom řídit se pokyny danými v daném protiopatření – například zohlednit některou hrozbu, vůči které NÚKIB varuje.

Interaktivní okno s nabídkou školení např. Dávej kyber! – Šéfuj kyber!

Svoji zásadní roli při prosazování požadavků kybernetické bezpečnosti zaujímá vrcholový management, které je definováno jako osoba nebo skupina osob, která řídí poskytovatele regulované služby, nebo statutární orgán. Jinými slovy se jedná o nejvyšší představitele organizace jako je např. předseda představenstva, ředitel organizace, rada města či starosta. Tyto osoby mohou plnění po nich vyžadovaných povinností, vyplývajících z tohoto návrhu vyhlášky, delegovat na své zástupce. Tito zástupci však musí mít zajištěny potřebné pravomoci, a to především k řízení implementace bezpečnostních opatření. V případě obcí s rozšířenou působností byla za vrcholový management označena pouze rada obce.

Školení týkající se kybernetické bezpečnosti musí kromě všech uživatelů, administrátorů a osoby pověřené za KB absolvovat i vrcholné vedení organizace. Školení jsou vstupní a poté pravidelná, která mohou být zaměřená na různá témata KB. Pravidelná školení mohou mít stanovenou např. jednoroční periodu. Formou těchto školení se musí vrcholné vedení poučit o svých povinnostech a bezpečnostní politice v oblasti zajišťování KB.

Řízení a rozvoj kybernetické bezpečnosti: Tato osoba má na starosti, aby organizace byla chráněna před kybernetickými hrozbami a aby byla zajištěna bezpečnost systémů a dat.

Dohled nad stavem kybernetické bezpečnosti: Sleduje, jak dobře fungují zavedená bezpečnostní opatření, pravidelně je kontroluje a vylepšuje podle potřeby a změn v oblasti bezpečnosti.

Komunikace a spolupráce s vrcholným vedením: Pravidelně komunikuje s vrcholným vedením, aby je informovala o aktuální situaci a navrhovala potřebné kroky ke zlepšení kybernetické bezpečnosti.

Kvalifikace a školení: Musí mít potřebné odborné znalosti – buď z praxe, nebo z odborných školení, aby rozuměla specifikům kybernetické bezpečnosti a mohla je efektivně aplikovat.

Pravomoci a postavení: Měla by mít dostatečné pravomoci, aby mohla prosazovat opatření, a musí být zařazena v organizační struktuře tak, aby měla přístup k potřebným informacím a mohla efektivně spolupracovat s ostatními týmy a vedením.

V České republice je kybernetická bezpečnost regulována zejména Zákonem o kybernetické bezpečnosti (dále jen „ZKB“). ZKB rozděluje poskytovatele regulované služby do dvou režimů – vyššího a nižšího. Pro každý z těchto režimů existuje samostatná vyhláška. Pro vyšší režim je to Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností a pro nižší režim Vyhláška bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností. V těchto vyhláškách jsou specifikována bezpečnostní opatření, která mají poskytovatelé regulované služby zavádět.

Pro dosažení efektivní ochrany informačních systémů a dat je nezbytné zajistit dostatečné finanční, personální a technologické zdroje. Tento požadavek zahrnuje: 

1. Finanční zdroje: Vyhrazení adekvátního rozpočtu na bezpečnostní technologie, školení zaměstnanců a pravidelné audity.

2. Personální kapacity: Zajištění odborně vyškoleného personálu pro implementaci a správu bezpečnostních opatření.

3. Technologické zdroje: Investice do moderních nástrojů, jako jsou firewally, systémy detekce hrozeb a šifrování. 

Klíčovým cílem je dosáhnout rovnováhy mezi náklady a efektivitou ochrany, aby byla minimalizována rizika a náklady na případné kybernetické incidenty.