Nový zákon o kybernetické bezpečnosti přinese povinnosti nejen velkým podnikům z oblasti energetiky, telekomunikací nebo výroby, ale například také zdravotnickým zařízením, institucím veřejné správy a poskytovatelům IT služeb. Co to bude znamenat a na co je nutné se připravit?
Evropská regulace s označením NIS2, ze které návrh nového zákona o kybernetické bezpečnosti (ZoKB) vychází, klade zásadní důraz nejen na zavedení bezpečnostních opatření jednotlivých regulovaných subjektů (tedy firem a organizací, na které se nový ZoKB vztahuje), ale také jejich významných dodavatelů.
Ukazuje se, že jde v současné době o jedno ze zásadních zranitelných míst. Potvrzuje to hned několik rozsáhlých incidentů, způsobených právě útoky prostřednictvím dodavatelů IT služeb a softwaru. Mezi ty nejzávažnější případy patří například infiltrace softwaru SolarWinds, která zasáhla tisíce organizací včetně amerických vládních agentur, rozsáhlé krádeže citlivých dat prostřednictvím aplikace MOVEit nebo ransomware NotPetya, šířený prostřednictvím účetní aplikace, který způsobil škody v miliardách dolarů.
Bezpečnost používaných softwarových produktů a služeb je proto jednou z hlavních otázek, na které se musí regulované subjekty důkladně zaměřit. Ve výsledku to znamená, že nové povinnosti v zajištění své kybernetické bezpečnosti budou mít i dodavatelé softwaru a IT služeb, kteří by jinak svou povahou mezi regulované subjekty nepatřili.
Kyberbezpečnost není jen záležitostí IT
Bezpečnostní procesy musí nutně řešit každá firma či organizace, která chce zajistit kontinuitu svého provozu – bez ohledu na to, zda jí to přikazuje zákon či nikoli. Zatímco v současné době se ale odpovědnost přesouvá především na oddělení IT, podle nového ZoKB je za kybernetickou bezpečnost odpovědný přímo management firmy. Tato přímá odpovědnost je samozřejmě velmi důležitá, protože kybernetická bezpečnost zdaleka není jen technologickou záležitostí. Předpokládá nastavení bezpečnostních procesů napříč celou organizací, dotýká se řízení lidských zdrojů a vyžaduje přidělení rozpočtů i dalších zdrojů a prostředků. Kde začít?
Mezinárodní standardy v kybernetické a informační bezpečnosti
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) byl pověřen vytvořením návrhu nového ZoKB, který staví na mezinárodních standardech kybernetické a informační bezpečnosti. Bezpečnostní opatření uvedená v návrhu nové legislativy se opírají o osvědčené postupy a standardy v kybernetické bezpečnosti. Např. standard ISO 27001, který definuje požadavky na systém řízení bezpečnosti informací. Pro organizace, které již dnes splňují standard ISO 27001, nebudou požadavky nového ZoKB zásadní novinkou. Ostatní mohou tuto normu využít jako vodítko pro zajištění vysoké úrovně kybernetické bezpečnosti, bez ohledu na to, zda jsou regulovanými subjekty podle ZoKB či nikoli.
Zmapovat současný stav
Snad žádná organizace ale dnes už nezačíná se svojí kybernetickou bezpečností od nuly. Všude existuje nějaké technologické vybavení a často také bezpečnostní procesy. Řada firem má dnes například popsány své procesy formou směrnic – ať už jde například o nákup služeb, procesy spojené s příchodem a odchodem zaměstnanců nebo třeba procesy řízení dokumentů – jen v nich např. není zohledněn aspekt informační bezpečnosti. Proto je nejlepším výchozím krokem analýza současného stavu (GAP analýza), na základě které lze naplánovat další postup.
A co je vlastně podle požadavků nového ZoKB nutné řešit?
Zákon u povinných subjektů vyžaduje celou řadu organizačních a technických bezpečnostních opatření. Mezi významné oblasti, kterých se opatření týkají patří například:
- Nastavení systému řízení rizik (Risk Management), který bude pokrývat i rizika kybernetické bezpečnosti.
- Strategii zachování kontinuity provozu (Business Continuity) v případě mimořádných událostí (jako je například kybernetický útok).
- Postupy při řešení incidentů (Incident Management) s cílem omezení následků a co nejrychlejšího návratu k běžnému provozu.
- Řešení zabezpečení dodavatelského řetězce na základě vlivu konkrétních dodavatelů na provoz.
Nemáte lidi? Tak si je pronajměte
Jestliže firma či organizace nemá zavedené standardy ochrany informací podle ISO 27001, a současně nedisponuje vlastním týmem specialistů na řízení bezpečnosti informací a kyberbezpečnost, představuje cestu ke splnění požadavků nového ZoKB outsourcing externích konzultantů. Je třeba vždy zvážit klady a zápory externí bezpečnostní role, kterých je celá řada, od požadavků na danou roli, znalost firemní kultury a procesů, až po náklady, které vás daná role bude stát.
Důležité je uvědomit si, že každá organizace je unikátní a neexistuje univerzální řešení bezpečnosti pro všechny stejně. Na to je nutné myslet zejména v případě, kdy bude externí konzultant slibovat kompletní zařízení souladu s novým ZoKB „na klíč“.
Kontaktujte odborníky
Služby SoftwareOne při zajištění souladu s připravovaným ZoKB začínají hned u samotné identifikace, zdali je firma či organizace skutečně poskytovatelem regulovaných služeb podle nového zákona. V případě některých organizací to nemusí být na první pohled zcela jednoznačné, typicky kvůli různým vedlejším činnostem podniků, jako je například provoz vlastní energetické infrastruktury, spojené s výrobou elektřiny. Konzultanti SoftwareOne rovněž doporučí zařazení organizace do režimu vyšších či nižších povinností.
Hlavním východiskem pro všechny další kroky je seznámení se s prostředím zákazníka, především s nastavenými procesy, zavedenými nástroji a souvisejícími směrnicemi. Teprve poté může začít fáze konzultací. Naši konzultanti doporučí osvědčené postupy, vysvětlí nové procesy i postupy jak je zavést a pomohou vytvořit související bezpečnostní dokumentaci. U bezpečnostních rolí, kde je to možné, nabízíme jejich outsourcing.
Zajistěte si soulad se zákonem
Nový zákon o kybernetické bezpečnosti sice ještě nemá svou finální podobu, ale už nyní je zřejmá většina požadavků, které bude na firmy a organizace klást. Konzultanti SoftwareOne zjistí vaši současnou pozici v ochraně informací a kybernetické bezpečnosti a navrhnou nejlepší kroky k dosažení souladu s novou legislativou.
Jak vám můžeme pomoci?
- Monitoringem přicházejících změn české legislativy v oblasti kybernetické bezpečnosti a vysvětlením změn a povinností, které z nich vyplývají
- Vysvětlením vyplývajících povinností v klíčových oblastech jako je plán kontinuity činnosti, řízení dodavatelského řetězce, risk management, incident management
- Revizí bezpečnostní dokumentace, interních předpisů a dotčených procesů
- Řízením rizik a asistencí při kontrolách a zastupování při řízeních u dozorových úřadů
Připravte se včas, zvyšte svou připravenost i konkurenceschopnost. Ať už se vás legislativa kolem NIS2 bude týkat, nebo ne, investice do zabezpečení vaší organizace je rozhodně nižší, než ztráty z dopadu případného kybernetického incidentu na chod a dobré jméno firmy. Obraťte se na nás a promluvíme si o tom.
Proč SoftwareOne?
- Jsme experty v oblasti organizační i technické bezpečnosti.
- Pomůžeme vám s procesní bezpečností a doporučíme nejvhodnější technologie pro zabezpečení vaší organizace.
- Naše portfolio zohledňuje Zákon o kybernetické bezpečnosti (ZoKB), NIS2, DORA, GDPR, ISO normy, cloudové služby a další.
- Víme, co se chystá – sledujeme legislativu a nejnovější trendy na poli bezpečnostních technologií.
- Dodáváme řešení, které pro vás bude dlouhodobě užitečné, ne pouze pro jednorázové splnění požadavků.
- Poskytujeme služby srozumitelnou formou a na míru vaší organizaci.
Objevte naše služby pro komplexní řešení kyberbezpečnosti.
E-BOOK: Průvodce řízením informační bezpečnosti
Evropská směrnice NIS2 přináší pravidla a procesy pro řízení bezpečnosti informací i v rámci českých státních a soukromých organizací. Víte, zda se na vás připravovaná regulace vztahuje, na co je potřeba připravit vaši společnost a jak zajistit její komplexní ochranu?
Nezavírejte před informační a kybernetickou bezpečností oči a projděte si našeho praktického průvodce, kde najdete souhrn věškerých informací a doporučení, které potřebujete znát!
E-BOOK: Průvodce řízením informační bezpečnosti
Evropská směrnice NIS2 přináší pravidla a procesy pro řízení bezpečnosti informací i v rámci českých státních a soukromých organizací. Víte, zda se na vás připravovaná regulace vztahuje, na co je potřeba připravit vaši společnost a jak zajistit její komplexní ochranu?
Nezavírejte před informační a kybernetickou bezpečností oči a projděte si našeho praktického průvodce, kde najdete souhrn věškerých informací a doporučení, které potřebujete znát!
Autor
