nZKB ve zkratce: Nový zákon o kybernetické bezpečnosti

Řízení rizik

Rizika ohrožují data, peníze, provoz i reputaci. Bez jejich řízení můžete jen doufat, že to „nějak vyjde“. V rámci ISMS zavedeme metodiku řízení rizik, najdeme je a vyhodnotíme. Získáte opatření na míru – žádná univerzální doporučení, ale přiměřená ochrana tam, kde to nejvíc potřebujete.

Řízení aktiv

Nepopsaná aktiva mohou být zdrojem rizik. Firma pak ani neví, co má chránit.

Pomůžeme vytvořit evidenci aktiv, jejich klasifikaci a pravidla pro zacházení. Tím získáte pořádek, přehled a jistotu, že bezpečnostní investice jdou tam, kde dávají smysl.

Řízení dodavatelů

Útok přes slabého dodavatele dokáže ochromit i velkou firmu. Dodavatelské vztahy jsou dnes častý vektor. Nastavíme pravidla pro výběr, hodnocení i kontrolu dodavatelů. Získáte důvěru klientů i partnerů, kteří bezpečnost v supply chainu čím dál víc sledují.

Systém řízení bezpečnosti informací

Bez systému řízení se bezpečnost dělá nahodile a často až po problému. To otevírá dveře útokům, výpadkům a chaosu, který firmu stojí peníze i reputaci. Podle ISO 27001 či TISAX nastavíme ISMS – řízený systém, kde má vše jasná pravidla, odpovědnosti a metriky. Výsledkem je klid a kontrola nad bezpečností bez zbytečné byrokracie.

Požadavky na vrcholné vedení

Bez aktivní podpory vedení zůstává bezpečnost jen na papíře. Lidé v týmu to poznají a kultura se rozpadne. Pomůžeme managementu nastavit priority a zdroje. Firma získá soulad se zákonem, manažeři ochranu a klienti signál, že bezpečnost berete vážně.

Stanovení bezpečnostních rolí

Pokud není jasné, kdo má co na starosti, bezpečnostní mezery vznikají automaticky. Incidenty pak nemají svého „majitele“ a útočníci mají otevřené dveře. Pomůžeme nastavit role (manažer bezpečnosti, architekt, auditor). Získáte řád v tom, kdo za co odpovídá a bezpečnost, na kterou je spoleh v krizích.

Řízení bezpečnostní politiky a dokumentace

Bez pravidel a dokumentace se každý řídí vlastním pocitem. To přináší zmatek, chaos a chabou vymahatelnost. Společně vytvoříme a nastavíme přehlednou dokumentaci. Ne šanony, ale praktické návody, které lidem usnadní práci, posílí kontinuitu firmy a zajistí klid při auditu i kontrole.

Bezpečnost lidských zdrojů

Největší slabinou jsou lidé. Narozdíl od strojů jim nemůžeme „přehrát software”, aby byli bezpečnější. Bez školení a pravidel je jen otázkou času, kdy vpustí útok do firmy. Pomůžeme nastavit bezpečné chování a školení. Lidé budou vědět, co dělat. Firma bude chráněna nejen technicky, ale i lidským faktorem.

Řízení změn

Nekontrolované změny v IT přinášejí zmatek a nové zranitelnosti. Mnohé útoky začínají právě zde. Nastavíme proces řízení změn – od posouzení rizik po testování. Výsledkem je, že i při rozvoji IT zůstává prostředí bezpečné, stabilní a s nižším rizikem výpadků.

Akvizice, vývoj a údržba

Nové systémy často přináší skryté chyby. Pokud bezpečnost není řešena od začátku, opravy stojí násobně víc. Zavedeme pravidla pro bezpečný vývoj a nákup technologií. Získáte jistotu, že nové projekty neplýtvají peníze a neotevírají díry, ale naopak posilují bezpečnost.

Řízení přístupu

Příliš široké přístupy znamenají riziko zneužití. Útočníci i zaměstnanci pak mají otevřenou cestu k sabotážím. Pomůžeme nastavit princip minimálních oprávnění a oddělení účtů. Získáte kontrolu, že ke klíčovým datům se dostanou jen ti, kdo opravdu musí.

Zvládání incidentů

Otázkou už není, jestli incidenty nastanou, ale kdy nastanou a jak budete připraveni. Bez plánu se firma ztratí v chaosu, který každou krizi zhorší a prodraží. Nastavíme proces pro hlášení, vyhodnocení i řešení incidentů. Budete schopni rychle reagovat, zmírnit tím škody a zlepšit odolnost do budoucna.

Řízení kontinuity činností

Výpadky služeb stojí čas, peníze i reputaci. Bez záloh a plánů se obnova mění v noční můru. Pomůžeme vám nastavit zálohy a plán, díky kterému budete mít jistotu, že i při velkém incidentu udržíte provoz a co nejrychleji se vrátíte do normálu.

Audit kybernetické bezpečnosti

Bez auditu nevíte, zda opatření opravdu fungují. Neodhalené slabiny mohou růst roky.

Zajistíme pravidelné audity ISMS, které vám pomohou kontinuálně snižovat rizika pokut, úniku dat i výpadků provozu.

Fyzická bezpečnost

Pokud se útočník dostane fyzicky k vašim serverům nebo zařízením, selže i nejlepší software. Pomůžeme nastavit perimetry a pravidla fyzické ochrany. Díky tomu snížíte riziko krádeží, sabotáží nebo výpadků způsobených lidským faktorem.

Bezpečnost komunikačních sítí

Slabě nastavená síť je otevřená brána pro útoky. Segmentace a šifrování jsou základ.

Navrhneme síťovou architekturu s odděleným prostředím a bezpečnými protokoly. Výsledkem je bezpečná komunikace a ochrana citlivých dat.

Správa a ověřování identit

Nedostatečné ověřování umožňuje útočníkům převzít účty a systémy. Pomůžeme zavést přiměřenou vícefaktorovou autentizaci a správu identit. Firma získá jistotu, že přístup má jen ověřená osoba nebo zařízení. Ne nikdo cizí.

Řízení přístupových práv

Když lidé mají přístupy, které nepotřebují, stávají se slabinou v bezpečnosti. Zavedeme nástroje pro správu práv a jejich pravidelné kontroly i při odchodech zaměstnanců. Tím omezíte zneužití a udržíte přístupová práva aktuální a bezpečná.

Detekce událostí

Bez včasné detekce se incidenty zjistí, až když se stane přůšvih – a to už je pozdě. Nastavíme monitorovací a detekční nástroje. Získáte přehled o dění v síti a možnost zastavit potenciální útok dřív, než napáchá škody.

Zaznamenávání událostí

Bez logů není možné dohledat příčiny incidentu ani splnit povinnosti při vyšetřování.

Pomůžeme zavést systém logování a uchovávání záznamů přiměřeně vaší firmě. Výsledkem je lepší dohled, kontrola, zabezpečení a splnění zákonných požadavků nejen v nZKB dle NIS2.

Vyhodnocování událostí

Data bez vyhodnocení nic neříkají. Hrozby zůstávají nepovšimnuté. Zavedeme proces a metodiku vyhodnocování událostí i reakce na ně. Firma tím získá schopnost rychle odhalovat a řešit hrozby, než přerostou v krizový scénář.

Aplikační bezpečnost

Zastaralé a neošetřené aplikace bývají častým vstupem útočníků. Pomůžeme nastavit pravidla pro aktualizace, testování a správu aplikací. Díky tomu zůstanou vaše systémy odolné a funkční.

Kryptografické algoritmy

Slabé šifrování je dnes prakticky jako žádné. Útočníci prolomí staré algoritmy během minut.

Implementujeme moderní kryptografii podle nejlepších doporučení. Vaše komunikace a data zachovají důvěrnost a integritu i navzdory sofistikovaným útokům.

Zajišťování dostupnosti služeb

Výpadek regulované služby má okamžitý dopad na zákazníky, peníze i pověst firmy.

Pomůžeme nastavit opatření pro dostupnost – od záloh po redundantní systémy. Zvýšíte odolnost a posílíte důvěru zákazníků.

Zabezpečení průmyslových a řídicích systémů

Specifická zařízení (SCADA, průmyslové řídicí systémy) mají jinou logiku a bývají špatně chráněná. Máme zkušenosti s průmyslem i standardy, jako IEC 62443. Zajistíme vhodná opatření. Získáte stabilní a chráněný provoz, i když půjde o vaši kritickou infrastrukturu.