4.0 minut na přečteníCloudové služby

NIS2 slovníček: Neztraťte se ve zkratkách

Iveta-sablikova-contact
Iveta SablíkováInformation Security Consultant
5 nejčastějších mýtů, proč nejde zavést multifaktorové ověřování

Příprava nového zákona o kybernetické bezpečnosti vrcholí a popisy povinností, které ukládá, se jen hemží zkratkami výrazů z oblasti kyberbezpečnosti. Co znamenají a jak se v nich vyznat?

Už zkraje roku 2025 by měl začít platit nový zákon o kybernetické bezpečnosti, vycházející především z evropské směrnice NIS2. Jde o velmi komplexní systém legislativních nařízení a souvisejících vyhlášek, ve kterém je i pro odborníky náročné se přesně zorientovat. Ostatně, i celá oblast kybernetické bezpečnosti je stále rozsáhlejší a komplikovanější a vyžaduje kombinaci znalostí z mnoha oborů. Také proto firmy i další organizace stále častěji vyhledávají pomoc u specializovaných poskytovatelů služeb kybernetické bezpečnosti.

Nový zákon o kybernetické bezpečnosti bude znamenat řadu náročných povinností pro tisíce českých firem a organizací. Vzhledem k probíhajícímu legislativnímu procesu ještě nelze jednoznačně říci, o jaké subjekty a povinnosti přesně půjde, ale ve skutečnosti by podniky a další organizace rozhodně neměly čekat, až jim pravidla jejich kybernetické bezpečnosti stanoví zákon a vyhlášky.

Aktuální průzkum společnosti Check Point uvádí, že každá česká společnost čelila ve 2. čtvrtletí letošního roku v průměru 2 094 kybernetickým útokům týdně. To představuje meziroční nárůst o 34 % a celkově jde o výrazně vyšší intenzitu kyberútoků, než činí celosvětový i evropský průměr. Data společnosti Sophos k tomu dodávají, že třetinu českých firem, které se rozhodly řešit ransomwarový útok zaplacením výkupného, stálo opětovné získání jejich dat až 6 milionů korun. A další třetinu až 4 miliony korun.

Zjištěné údaje by měly být dostatečným varováním i motivací pro zavedení důsledných kyberbezpečnostních opatření, bez ohledu na to zdali to vyžaduje legislativa. Abyste se snadněji zorientovali v současném prostředí kybernetické bezpečnosti, připravili jsme pro vás slovníček základních pojmů a jejich zkratek, se kterými se budete opakovaně setkávat.

 
Zkratka Vysvětlení
BCM Business Continuity Management (řízení kontinuity organizace) – Holistický proces řízení, který identifikuje možné hrozby a jejich dopady na chod organizace. Popisuje možné scénáře dopadů a poskytuje rámec pro prohlubování odolnosti organizace a její schopnosti účinně reagovat. Tím pomáhá chránit zájmy klíčových zainteresovaných stran, pověst i značku organizace a její činnosti vytvářející hodnoty.
BCP Business Continuity Plan (plán kontinuity činností) – Dokumentované postupy, které organizace provádí, aby reagovala na incidenty, obnovila svá aktiva, zotavila se z narušení a pokračovala ve své činnosti na předem stanovené úrovni.
BIA Business Impact Analysis (analýza dopadů) – Proces analýzy provozních funkcí a dopadu, který by na ně mohlo mít narušení.
BYOD Bring Your Own Device – Použití soukromého mobilního zařízení k pracovním účelům.
DRP Disaster Recovery Plan (plán obnovy po havárii) – Plán pro záložní postupy, odezvu na nepředvídanou událost a obnovu po havárii.
ISMS Information Security Management System (systém řízení bezpečnosti informací) – Řeší problematiku zachování důvěrnosti, integrity a dostupnosti informací. Zahrnuje procesy předcházení úniku, ztrátě, nedostupnosti a modifikaci informací a dat a s nimi spojených služeb.
KBU Kybernetická bezpečnostní událost – Událost, která může způsobit narušení bezpečnosti informací v informačních systémech, bezpečnosti služeb nebo bezpečnosti a integrity sítí.
KBI Kybernetický bezpečnostní incident – Incident je událost, která není součástí běžných operací a narušuje provoz.
MDM Mobile Device Management – Softwarové řešení, které umožňuje organizacím spravovat, monitorovat a zabezpečovat mobilní zařízení svých zaměstnanců.
NIS2 Network and Information Security 2 – Směrnice Evropského parlamentu a Rady 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii.
NÚKIB Národní úřad pro kybernetickou a informační bezpečnost – Gestor kybernetické bezpečnosti a národní autorita pro tuto oblast, zajišťující mimo jiné metodickou podporu, provádějící kontrolu a vydávající opatření.
RIA Risk Analysis (analýza rizik) – Proces pochopení povahy rizik a určení jejich úrovně.
RPO Recovery Point Objective (bod obnovy dat) – Určitý bod, k němuž musí být obnoveny informace používané při činnosti, aby po opětovném zahájení provozu mohla být tato činnost znovu vykonávána. Může být rovněž označen jako „maximální ztráta dat“.
RTO Recovery Time Objective (doba obnovy chodu) – Časový interval následující po incidentu, během kterého musí být obnoveny produkty, služby nebo činnosti a nahrazeny zdroje.
SIEM Security Information and Event Management – Systém, jehož úkolem je sběr, analýza a korelace dat o událostech v síti. SIEM systémy kombinují metody detekce a analýzy anomálních událostí v síti a poskytují informace použitelné k řízení sítě i provozovaných služeb.
SLA Service Level Agreement (dohoda o úrovni služeb) – Smlouva mezi poskytovatelem a příjemcem služby, která definuje parametry technické podpory a parametry poskytované služby včetně způsobu jejich měření a následků, které vyplývají z jejich nedodržení poskytovatelem.
TLP Traffic Light Protocol – Systém označování informací, který určuje, do jaké míry mohou příjemci sdílet potenciálně citlivé informace.

Jak vám můžeme pomoci?

  • Monitoringem přicházejících změn české legislativy v oblasti kybernetické bezpečnosti a vysvětlením změn a povinností, které z nich vyplývají.
  • Vysvětlením vyplývajících povinností v klíčových oblastech jako je plán kontinuity činnosti, řízení dodavatelského řetězce, risk management, incident management.
  • Revizí bezpečnostní dokumentace, interních předpisů a dotčených procesů.
  • Řízením rizik a asistencí při kontrolách a zastupování při řízeních u dozorových úřadů.

Proč SoftwareOne?

  • Jsme experty v oblasti organizační i technické bezpečnosti.
  • Pomůžeme vám s procesní bezpečností a doporučíme nejvhodnější technologie pro zabezpečení vaší organizace.
  • Naše portfolio zohledňuje Zákon o kybernetické bezpečnosti (ZoKB), NIS2, DORA, GDPR, ISO normy, cloudové služby a další.
  • Víme, co se chystá – sledujeme legislativu a nejnovější trendy na poli bezpečnostních technologií.
  • Dodáváme řešení, které pro vás bude dlouhodobě užitečné, ne pouze pro jednorázové splnění požadavků.
  • Poskytujeme služby srozumitelnou formou a na míru vaší organizaci.

Objevte naše služby pro komplexní řešení kyberbezpečnosti .

Autor

Iveta-sablikova-contact

Iveta Sablíková
Information Security Consultant