nZKB - Nový zákon o kybernetické bezpečnosti 2025
Aktualizováno: 27.11.2024
Nový zákon o kybernetické bezpečnosti přináší zásadní změny v digitální ochraně českých organizací. Implementuje evropskou směrnici NIS2, rozšiřuje okruh regulovaných subjektů a zpřísňuje požadavky na kybernetickou bezpečnost. Tento článek vám poskytne přehled klíčových bodů zákona, jeho dopadu na různé sektory a časový harmonogram implementace.
Co je nový zákon o kybernetické bezpečnosti?
Nový zákon o kybernetické bezpečnosti je legislativní nástroj, který implementuje evropskou směrnici NIS2 do českého právního rámce. Tento zákon má za cíl posílit ochranu digitálního prostoru České republiky a reagovat na rostoucí kybernetické hrozby.
Co obsahuje nový zákon o kybernetické bezpečnosti:
- Větší počet regulovaných organizací (nové služby): Zákon rozšiřuje okruh subjektů, které musí dodržovat kybernetická bezpečnostní opatření. Nově se týká například poskytovatelů cloudových služeb nebo výrobců kritických produktů.
- Odpovědnost a povinnosti vedení: Vrcholové vedení organizací je nyní přímo odpovědné za dodržování kybernetické bezpečnosti. Musí schvalovat bezpečnostní politiky a zajistit dostatečné zdroje pro jejich implementaci.
- Pokuty: Zákon zavádí přísnější sankce za nedodržování stanovených povinností. Maximální výše pokut se výrazně zvyšuje, aby motivovala organizace k důslednému dodržování bezpečnostních opatření.
- Hlášení incidentů: Povinnost hlásit kybernetické bezpečnostní incidenty je rozšířena a zpřísněna. Organizace musí incidenty hlásit v kratších lhůtách a poskytovat podrobnější informace.
- Správa rizik: Zákon klade větší důraz na proaktivní přístup k řízení kybernetických rizik. Organizace musí pravidelně provádět analýzy rizik a implementovat odpovídající bezpečnostní opatření.
- Provádění protiopatření vydaných NÚKIB: Povinné subjekty musí implementovat bezpečnostní opatření a varování vydaná Národním úřadem pro kybernetickou a informační bezpečnost. Tím se posiluje schopnost rychle reagovat na aktuální hrozby.
- Bezpečnost dodavatelského řetězce: Zákon zavádí požadavky na zabezpečení celého dodavatelského řetězce. Organizace musí zohledňovat kybernetickou bezpečnost při výběru dodavatelů a pravidelně hodnotit související rizika.
Na koho se nový zákon o kybernetické bezpečnosti vztahuje
Nový zákon o kybernetické bezpečnosti se vztahuje na organizace, které jsou střední nebo velké (tj. více jak 50 zaměstnanců nebo obrat větší než 250 mil Kč) a zároveň působí v definovaných regulovaných oblastech. Regulované oblasti jsou:
- Veřejná správa
- Energetika – (elektřina, ropa a ropné produkty, plynárenství, teplárenství, vodík)
- Výrobní průmysl
- Potravinářský průmysl
- Chemický průmysl
- Vodní hospodářství
- Odpadové hospodářství
- Doprava – (letecká, drážní, vodní, silniční)
- Digitální infrastruktura a služby
- Finanční trh
- Zdravotnictví
- Věda, výzkum a vzdělávání
- Poštovní a kurýrní služby
- Vojenský průmysl
- Vesmírný průmysl
Pokud si nejste jisti, zda se vaše organizace řadí mezi regulované subjekty, nabízíme online nástroj pro okamžité ověření.
Úroveň povinností v novém kybernetickém zákoně
Zákon definuje dvě úrovně povinností: nižší a vyšší. Vyšší povinnosti zahrnují všechny požadavky jako nižší, ale přidávají dodatečná organizační a technická opatření. Kritéria pro určení úrovně povinností jsou jasně stanovena a vycházejí z dopadové analýzy.
Platnost a termíny
Očekává se, že nový zákon vstoupí v platnost na začátku roku 2025. Legislativní proces a doporučené kroky pro zajištění souladu jsou zobrazeny v přiloženém diagramu. Včasné přijetí opatření je klíčové pro minimalizaci rizika sankcí.
Na horní části obrázku vidíte legislativní proces a na spodní části vidíte doporučené kroky k zajištění shody včas v požadovaném období.
Nutná bezpečnostní opatření pro splnění požadavků NIS2 a nového ZKB
Zde naleznete přehled hlavních povinností a opatření, které musí organizace splnit.
Nižší povinnosti nového zákona (platí pro všechny organizace)
- Menší a střední podniky: Týká se menších organizací a podniků, které neposkytují kriticky důležité služby.
- Služby s nižší kritičností: Organizace poskytující služby, které nejsou strategicky důležité.
- Mírnější bezpečnostní požadavky: Požadavky na bezpečnost jsou méně přísné než u organizací s vyššími povinnostmi.
- Méně časté audity: Audity a kontroly probíhají méně často a nejsou tak detailní.
- Hlášení incidentů: Povinnost hlásit kybernetické incidenty do 72 hodin.
Organizační opatření:
- Zajišťování kybernetické bezpečnosti (přehled bezpečnostních opatření, zodpovědnost, bezpečnostní politika, bezpečnostní dokumentace, relevantní smlouvy s dodavateli)
- Bezpečnost lidských zdrojů (směrnice, školení kybernetické bezpečnosti uživatelů)
- Řízení přístupu (jedinečná identifikace, pravidla hesel, omezení administrátorských a privilegovaných přístupů)
- Řešení kybernetických bezpečnostních incidentů (oznamování a vyhodnocování)
- Řízení kontinuity (postup obnovy primárních aktiv, odpovědnosti, zálohování)
- Řízení identit a jejich oprávnění (správa identit, MFA)
- Bezpečnost komunikačních sítí (segmentace, zajištění perimetru, používání VPN)
- Detekce a zaznamenávání kybernetických bezpečnostních událostí
- Aplikační bezpečnost (patch management, test zranitelnosti)
Technická opatření:
- Bezpečnost komunikačních sítí
- Řízení komunikace
- Zajištění důvěrnosti a integrity pomocí kryptografických algoritmů
- Využití nástroje pro ochranu integrity sítě
- Správa a ověřování identit
- Řízení přístupových oprávnění
- Zaznamenávání událostí
- Zajišťování dostupnosti regulované služby
Vyšší povinnosti nového zákona
- Kritická infrastruktura: Týká se organizací, které provozují kritickou infrastrukturu (např. energetika, vodohospodářství, zdravotnictví, doprava).
- Strategické služby: Zahrnuje organizace poskytující strategické služby, jako jsou telekomunikace, finanční služby, zdravotnické systémy atd.
- Přísné požadavky: Vyžadují implementaci přísnějších bezpečnostních opatření a pravidelné hodnocení rizik.
- Hloubkové audity: Organizace podléhají pravidelným a hloubkovým auditům a kontrolám ze strany státních orgánů.
- Hlášení incidentů: Povinnost hlásit kybernetické incidenty do 24 hodin.
Organizační opatření:
- Systém řízení bezpečnosti informací (cíle, řízení rizik, bezpečnostní politika, vyhodnocení účinnosti systému řízení bezpečnosti informací, zpráva o přezkoumání, řízení změn)
- Bezpečnostní role
- Manažer kybernetické bezpečnosti
- Architekt kybernetické bezpečnosti
- Auditor kybernetické bezpečnosti
- Řízení bezpečnostní politiky a bezpečnostní dokumentace
- Řízení dodavatelů
- Řízení změn
- Akvizice, vývoj a údržba
- Audit kybernetické bezpečnosti
Technická opatření:
- Řízení privilegovaných účtů
- Nasazení SIEM systému
- Pravidelný test zranitelnosti
- Penetrační testování