Příprava nového zákona o kybernetické bezpečnosti vrcholí a popisy povinností, které ukládá, se jen hemží zkratkami výrazů z oblasti kyberbezpečnosti. Co znamenají a jak se v nich vyznat?
Už zkraje roku 2025 by měl začít platit nový zákon o kybernetické bezpečnosti, vycházející především z evropské směrnice NIS2. Jde o velmi komplexní systém legislativních nařízení a souvisejících vyhlášek, ve kterém je i pro odborníky náročné se přesně zorientovat. Ostatně, i celá oblast kybernetické bezpečnosti je stále rozsáhlejší a komplikovanější a vyžaduje kombinaci znalostí z mnoha oborů. Také proto firmy i další organizace stále častěji vyhledávají pomoc u specializovaných poskytovatelů služeb kybernetické bezpečnosti.
Nový zákon o kybernetické bezpečnosti bude znamenat řadu náročných povinností pro tisíce českých firem a organizací. Vzhledem k probíhajícímu legislativnímu procesu ještě nelze jednoznačně říci, o jaké subjekty a povinnosti přesně půjde, ale ve skutečnosti by podniky a další organizace rozhodně neměly čekat, až jim pravidla jejich kybernetické bezpečnosti stanoví zákon a vyhlášky.
Aktuální průzkum společnosti Check Point uvádí, že každá česká společnost čelila ve 2. čtvrtletí letošního roku v průměru 2 094 kybernetickým útokům týdně. To představuje meziroční nárůst o 34 % a celkově jde o výrazně vyšší intenzitu kyberútoků, než činí celosvětový i evropský průměr. Data společnosti Sophos k tomu dodávají, že třetinu českých firem, které se rozhodly řešit ransomwarový útok zaplacením výkupného, stálo opětovné získání jejich dat až 6 milionů korun. A další třetinu až 4 miliony korun.
Zjištěné údaje by měly být dostatečným varováním i motivací pro zavedení důsledných kyberbezpečnostních opatření, bez ohledu na to zdali to vyžaduje legislativa. Abyste se snadněji zorientovali v současném prostředí kybernetické bezpečnosti, připravili jsme pro vás slovníček základních pojmů a jejich zkratek, se kterými se budete opakovaně setkávat.
| Zkratka | Vysvětlení |
|---|---|
| BCM | Business Continuity Management (řízení kontinuity organizace) – Holistický proces řízení, který identifikuje možné hrozby a jejich dopady na chod organizace. Popisuje možné scénáře dopadů a poskytuje rámec pro prohlubování odolnosti organizace a její schopnosti účinně reagovat. Tím pomáhá chránit zájmy klíčových zainteresovaných stran, pověst i značku organizace a její činnosti vytvářející hodnoty. |
| BCP | Business Continuity Plan (plán kontinuity činností) – Dokumentované postupy, které organizace provádí, aby reagovala na incidenty, obnovila svá aktiva, zotavila se z narušení a pokračovala ve své činnosti na předem stanovené úrovni. |
| BIA | Business Impact Analysis (analýza dopadů) – Proces analýzy provozních funkcí a dopadu, který by na ně mohlo mít narušení. |
| BYOD | Bring Your Own Device – Použití soukromého mobilního zařízení k pracovním účelům. |
| DRP | Disaster Recovery Plan (plán obnovy po havárii) – Plán pro záložní postupy, odezvu na nepředvídanou událost a obnovu po havárii. |
| ISMS | Information Security Management System (systém řízení bezpečnosti informací) – Řeší problematiku zachování důvěrnosti, integrity a dostupnosti informací. Zahrnuje procesy předcházení úniku, ztrátě, nedostupnosti a modifikaci informací a dat a s nimi spojených služeb. |
| KBU | Kybernetická bezpečnostní událost – Událost, která může způsobit narušení bezpečnosti informací v informačních systémech, bezpečnosti služeb nebo bezpečnosti a integrity sítí. |
| KBI | Kybernetický bezpečnostní incident – Incident je událost, která není součástí běžných operací a narušuje provoz. |
| MDM | Mobile Device Management – Softwarové řešení, které umožňuje organizacím spravovat, monitorovat a zabezpečovat mobilní zařízení svých zaměstnanců. |
| NIS2 | Network and Information Security 2 – Směrnice Evropského parlamentu a Rady 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii. |
| NÚKIB | Národní úřad pro kybernetickou a informační bezpečnost – Gestor kybernetické bezpečnosti a národní autorita pro tuto oblast, zajišťující mimo jiné metodickou podporu, provádějící kontrolu a vydávající opatření. |
| RIA | Risk Analysis (analýza rizik) – Proces pochopení povahy rizik a určení jejich úrovně. |
| RPO | Recovery Point Objective (bod obnovy dat) – Určitý bod, k němuž musí být obnoveny informace používané při činnosti, aby po opětovném zahájení provozu mohla být tato činnost znovu vykonávána. Může být rovněž označen jako „maximální ztráta dat“. |
| RTO | Recovery Time Objective (doba obnovy chodu) – Časový interval následující po incidentu, během kterého musí být obnoveny produkty, služby nebo činnosti a nahrazeny zdroje. |
| SIEM | Security Information and Event Management – Systém, jehož úkolem je sběr, analýza a korelace dat o událostech v síti. SIEM systémy kombinují metody detekce a analýzy anomálních událostí v síti a poskytují informace použitelné k řízení sítě i provozovaných služeb. |
| SLA | Service Level Agreement (dohoda o úrovni služeb) – Smlouva mezi poskytovatelem a příjemcem služby, která definuje parametry technické podpory a parametry poskytované služby včetně způsobu jejich měření a následků, které vyplývají z jejich nedodržení poskytovatelem. |
| TLP | Traffic Light Protocol – Systém označování informací, který určuje, do jaké míry mohou příjemci sdílet potenciálně citlivé informace. |
Jak vám můžeme pomoci?
- Monitoringem přicházejících změn české legislativy v oblasti kybernetické bezpečnosti a vysvětlením změn a povinností, které z nich vyplývají.
- Vysvětlením vyplývajících povinností v klíčových oblastech jako je plán kontinuity činnosti, řízení dodavatelského řetězce, risk management, incident management.
- Revizí bezpečnostní dokumentace, interních předpisů a dotčených procesů.
- Řízením rizik a asistencí při kontrolách a zastupování při řízeních u dozorových úřadů.
Proč SoftwareOne?
- Jsme experty v oblasti organizační i technické bezpečnosti.
- Pomůžeme vám s procesní bezpečností a doporučíme nejvhodnější technologie pro zabezpečení vaší organizace.
- Naše portfolio zohledňuje Zákon o kybernetické bezpečnosti (ZoKB), NIS2, DORA, GDPR, ISO normy, cloudové služby a další.
- Víme, co se chystá – sledujeme legislativu a nejnovější trendy na poli bezpečnostních technologií.
- Dodáváme řešení, které pro vás bude dlouhodobě užitečné, ne pouze pro jednorázové splnění požadavků.
- Poskytujeme služby srozumitelnou formou a na míru vaší organizaci.
Objevte naše služby pro komplexní řešení kyberbezpečnosti .
Autor
