Co je nový zákon o kybernetické bezpečnosti?

Nový zákon o kybernetické bezpečnosti je legislativní nástroj, který implementuje evropskou směrnici NIS2 do českého právního rámce. Tento zákon má za cíl posílit ochranu digitálního prostoru České republiky a reagovat na rostoucí kybernetické hrozby.

Co obsahuje nový zákon o kybernetické bezpečnosti:

  1. Větší počet regulovaných organizací (nové služby): Zákon rozšiřuje okruh subjektů, které musí dodržovat kybernetická bezpečnostní opatření. Nově se týká například poskytovatelů cloudových služeb nebo výrobců kritických produktů.
  2. Odpovědnost a povinnosti vedení: Vrcholové vedení organizací je nyní přímo odpovědné za dodržování kybernetické bezpečnosti. Musí schvalovat bezpečnostní politiky a zajistit dostatečné zdroje pro jejich implementaci.
  3. Pokuty: Zákon zavádí přísnější sankce za nedodržování stanovených povinností. Maximální výše pokut se výrazně zvyšuje, aby motivovala organizace k důslednému dodržování bezpečnostních opatření.
  4. Hlášení incidentů: Povinnost hlásit kybernetické bezpečnostní incidenty je rozšířena a zpřísněna. Organizace musí incidenty hlásit v kratších lhůtách a poskytovat podrobnější informace.
  5. Správa rizik: Zákon klade větší důraz na proaktivní přístup k řízení kybernetických rizik. Organizace musí pravidelně provádět analýzy rizik a implementovat odpovídající bezpečnostní opatření.
  6. Provádění protiopatření vydaných NÚKIB: Povinné subjekty musí implementovat bezpečnostní opatření a varování vydaná Národním úřadem pro kybernetickou a informační bezpečnost. Tím se posiluje schopnost rychle reagovat na aktuální hrozby.
  7. Bezpečnost dodavatelského řetězce: Zákon zavádí požadavky na zabezpečení celého dodavatelského řetězce. Organizace musí zohledňovat kybernetickou bezpečnost při výběru dodavatelů a pravidelně hodnotit související rizika.

Na koho se nový zákon o kybernetické bezpečnosti vztahuje

Nový zákon o kybernetické bezpečnosti se vztahuje na organizace, které jsou střední nebo velké (tj. více jak 50 zaměstnanců nebo obrat větší než 250 mil Kč) a zároveň působí v definovaných regulovaných oblastech. Regulované oblasti jsou:

  • Veřejná správa
  • Energetika – (elektřina, ropa a ropné produkty, plynárenství, teplárenství, vodík)
  • Výrobní průmysl
  • Potravinářský průmysl
  • Chemický průmysl
  • Vodní hospodářství
  • Odpadové hospodářství
  • Doprava (letecká, drážní, vodní, silniční)
  • Digitální infrastruktura a služby
  • Finanční trh
  • Zdravotnictví
  • Věda, výzkum a vzdělávání
  • Poštovní a kurýrní služby
  • Vojenský průmysl
  • Vesmírný průmysl

Pokud si nejste jisti, zda se vaše organizace řadí mezi regulované subjekty, nabízíme online nástroj pro okamžité ověření.

Úroveň povinností v novém kybernetickém zákoně

Zákon definuje dvě úrovně povinností: nižší a vyšší. Vyšší povinnosti zahrnují všechny požadavky jako nižší, ale přidávají dodatečná organizační a technická opatření. Kritéria pro určení úrovně povinností jsou jasně stanovena a vycházejí z dopadové analýzy.

NIS2 - přehledné schéma termínů

Platnost a termíny

Očekává se, že nový zákon vstoupí v platnost na začátku roku 2025. Legislativní proces a doporučené kroky pro zajištění souladu jsou zobrazeny v přiloženém diagramu. Včasné přijetí opatření je klíčové pro minimalizaci rizika sankcí.

Na horní části obrázku vidíte legislativní proces a na spodní části vidíte doporučené kroky k zajištění shody včas v požadovaném období.

Nutná bezpečnostní opatření pro splnění požadavků NIS2 a nového ZKB

Zde naleznete přehled hlavních povinností a opatření, které musí organizace splnit.

Nižší povinnosti nového zákona (platí pro všechny organizace)

  • Menší a střední podniky: Týká se menších organizací a podniků, které neposkytují kriticky důležité služby.
  • Služby s nižší kritičností: Organizace poskytující služby, které nejsou strategicky důležité.
  • Mírnější bezpečnostní požadavky: Požadavky na bezpečnost jsou méně přísné než u organizací s vyššími povinnostmi.
  • Méně časté audity: Audity a kontroly probíhají méně často a nejsou tak detailní.
  • Hlášení incidentů: Povinnost hlásit kybernetické incidenty do 72 hodin.

Organizační opatření:

  • Zajišťování kybernetické bezpečnosti (přehled bezpečnostních opatření, zodpovědnost, bezpečnostní politika, bezpečnostní dokumentace, relevantní smlouvy s dodavateli)
  • Bezpečnost lidských zdrojů (směrnice, školení kybernetické bezpečnosti uživatelů)
  • Řízení přístupu (jedinečná identifikace, pravidla hesel, omezení administrátorských a privilegovaných přístupů)
  • Řešení kybernetických bezpečnostních incidentů (oznamování a vyhodnocování)
  • Řízení kontinuity (postup obnovy primárních aktiv, odpovědnosti, zálohování)
  • Řízení identit a jejich oprávnění (správa identit, MFA)
  • Bezpečnost komunikačních sítí (segmentace, zajištění perimetru, používání VPN)
  • Detekce a zaznamenávání kybernetických bezpečnostních událostí
  • Aplikační bezpečnost (patch management, test zranitelnosti)

Technická opatření:

  • Bezpečnost komunikačních sítí
  • Řízení komunikace
  • Zajištění důvěrnosti a integrity pomocí kryptografických algoritmů
  • Využití nástroje pro ochranu integrity sítě
  • Správa a ověřování identit
  • Řízení přístupových oprávnění
  • Zaznamenávání událostí
  • Zajišťování dostupnosti regulované služby

Vyšší povinnosti nového zákona

  • Kritická infrastruktura: Týká se organizací, které provozují kritickou infrastrukturu (např. energetika, vodohospodářství, zdravotnictví, doprava).
  • Strategické služby: Zahrnuje organizace poskytující strategické služby, jako jsou telekomunikace, finanční služby, zdravotnické systémy atd.
  • Přísné požadavky: Vyžadují implementaci přísnějších bezpečnostních opatření a pravidelné hodnocení rizik.
  • Hloubkové audity: Organizace podléhají pravidelným a hloubkovým auditům a kontrolám ze strany státních orgánů.
  • Hlášení incidentů: Povinnost hlásit kybernetické incidenty do 24 hodin.

Organizační opatření:

  • Systém řízení bezpečnosti informací (cíle, řízení rizik, bezpečnostní politika, vyhodnocení účinnosti systému řízení bezpečnosti informací, zpráva o přezkoumání, řízení změn)
  • Bezpečnostní role
    • Manažer kybernetické bezpečnosti
    • Architekt kybernetické bezpečnosti
    • Auditor kybernetické bezpečnosti
  • Řízení bezpečnostní politiky a bezpečnostní dokumentace
  • Řízení dodavatelů
  • Řízení změn
  • Akvizice, vývoj a údržba
  • Audit kybernetické bezpečnosti

Technická opatření:

  • Řízení privilegovaných účtů
  • Nasazení SIEM systému
  • Pravidelný test zranitelnosti
  • Penetrační testování