Poznejte bezpečnostní opatření, odebírejte sérii
#UmimeNIS2
Udržíte svůj přehled a zjistíte, co už ve firmě řešíte i na čem ještě zapracovat. Posíláme videa o opatřeních i aktuality k nZKB a dění v kybernetické džungli.
Co zahrnují organizační opatření z nZKB dle NIS2?
Které opatření zde má vyšší režim a které nižší?
Organizační opatření zahrnují procesy a dokumentace, které slouží jako manuál, jak se chovat bezpečně, nebo něco dělat správně. Podporují pasivně bezpečnost. Když jsou správně uchopené, zajišťují, že kyberbezpečnost funguje nejen na papíře, navíc podporují její kontinuitu a usnadňují bezpečný onboarding nových zaměstnanců. Organizační opatření můžete poznat i v sérii #UmímeNIS2.
Zobrazit více
Organizační opatření pro vyšší režim zahrnují:
- systém řízení bezpečnosti informací,
- požadavky na vrcholné vedení,
- stanovení bezpečnostních rolí,
- řízení bezpečnostní politiky a bezpečnostní dokumentace,
- řízení aktiv,
- řízení rizik,
- řízení dodavatelů,
- bezpečnost lidských zdrojů,
- řízení změn,
- akvizice, vývoj a údržba,
- řízení přístupu,
- zvládání kybernetických bezpečnostních událostí a incidentů,
- řízení kontinuity činností a
- provádění auditu kybernetické bezpečnosti,
Organizační opatření pro nižší režim zahrnují:
- systém zajišťování minimální kybernetické bezpečnosti,
- požadavky na vrcholné vedení,
- řízení aktiv,
- řízení rizik,
- bezpečnost lidských zdrojů,
- řízení kontinuity činností,
- řízení přístupu,
- řešení kybernetických bezpečnostních incidentů
Co zahrnují technická opatření z nZKB dle NIS2?
Které opatření zde má vyšší režim a které nižší?
Technická opatření zahrnují postupy a technologie pro aktivní ochranu dat a kontinuity podnikání. Spojením s organizačními opatřeními (procesy, dokumentace) vzniká celistvý systém řízení bezpečnosti informací, který vaši firmu chrání každý den. I technická opatření můžete poznat v sérii #UmímeNIS2.
Zobrazit více
Technická opatření pro vyšší režim zahrnují:
- fyzická bezpečnost,
- bezpečnost komunikačních sítí,
- správa a ověřování identit,
- řízení přístupových práv a oprávnění,
- detekce kybernetických bezpečnostních událostí,
- zaznamenávání událostí,
- vyhodnocování kybernetických bezpečnostních událostí,
- aplikační bezpečnost,
- kryptografické algoritmy,
- zajišťování dostupnosti regulované služby a
- zabezpečení průmyslových, řídících a obdobných technických aktiv.
Technická opatření pro nižší režim zahrnují:
- řízení identit a jejich oprávnění,
- detekce a zaznamenávání kybernetických bezpečnostních událostí,
- bezpečnost komunikačních sítí,
- aplikační bezpečnost a kryptografické algoritmy.
Jaké jsou hlavní povinnosti pro nový zákon o kybernetické bezpečnosti podle NIS2?
Co musíme jistojistě splňovat a nejede přes to vlak?
- Do 60 dnů po účinnosti zaregistrovat přes portál NÚKIB své regulované služby.
- Po tom, co vám NÚKIB doručí rozhodnutí o registraci, do 30 dnů přes portál nahlásit kontaktní údaje (IČO atd.)
Zobrazit více
- Stanovit rozsah řízení kyberbezpečnosti identifikací primárních a podpůrných aktiv + vést evidenci všech aktiv v rozsahu (i těch vyřazených, včetně důvodu vyřazení).
- Zavádět bezpečnostní opatření podle režimu nejpozději do 1 roku od doručení rozhodnutí o registraci od NÚKIB.
- Hlásit kyber incidenty na portál NÚKIB (vyšší režim NÚKIB, nižší Národnímu CERT).
- Informovat zákazníky o incidentech a hrozbách max. do 1 roku od doručení rozhodnutí o registraci od NÚKIB.
- Provádět protiopatření vydané NÚKIB (výstraha, varování, reaktivní protiopatření — nižší režim nezavazuje varování) ve lhůtě a podle úkonů v protiopatření a výsledek hlásit NÚKIB.
- Pokud jste strategicky významnou službou (NÚKIB vám sdělí už při registraci), tak rok ode dne, kdy jste se jí stali, musíte začít zjišťovat a evidovat informace o dodavatelích bezpečnostně významných dodávek (mechanismus BDŘ).
- Stejně, jako výše, pokud jste strategicky významní, musíte zajišťovat dostupnost regulované služby v nezbytném rozsahu, ve stanoveném čase a kvalitě z území České republiky.
Musíme mít do roka od doručení rozhodnutí o registraci z NÚKIB zavedena všechna opatření?
Existuje nějaké nutné minimum a postupné dodělání?
Pro oba režimy existuje nutné minimum, ale jen v případě firem, které začínají doslova na zelené louce a mohou to prokázat. Firmy začínající od nuly ve vyšším režimu musí mít alespoň zmapovaná všechna aktiva regulovaných služeb, analýzu a plán zvládání rizik, BIA analýzu, prohlášení o aplikovatelnosti a krizový plán. Zbytek pak mohou dodělat v rámci přehledu bezpečnostních opatření.
Zobrazit více
Nižší režim, začíná-li firma od nuly, má nutné minimum přímo v návrhu vyhlášky pro nižší režim. Jde o § 4 odstavec 2 až 7 a § 5, 6 a 11 v návrhu vyhlášky pro nižší režim. Zbytek opatření lze rovněž dodělat v rámci přehledu bezpečnostních opatření.
Jak zjistit, zda se mě týká nZKB dle směrnice NIS2?
Samoposouzení, tipy a informace
Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean
commodo ligula eget dolor. Aenean massa. Cum sociis natoque penatibus
et magnis dis parturient montes, nascetur ridiculus mus. Donec quam felis,
Cum sociis natoque penatibus
et magnis dis parturient montes, nascetur ridiculus mus. Donec quam felis,
ultricies nec, pellentesque eu, pretium quis, sem. Nulla consequat massa
quis enim. Donec pede justo, fringilla vel, aliquet nec, vulputate..
Zobrazit více
Jaké hlavní povinnosti přináší nový zákon?
Vše o hlavních povinnostech ze zákona
Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean
commodo ligula eget dolor. Aenean massa. Cum sociis natoque penatibus
et magnis dis parturient montes, nascetur ridiculus mus. Donec quam felis,
Cum sociis natoque penatibus
et magnis dis parturient montes, nascetur ridiculus mus. Donec quam felis,
ultricies nec, pellentesque eu, pretium quis, sem. Nulla consequat massa
quis enim. Donec pede justo, fringilla vel, aliquet nec, vulputate..
Zobrazit více