Směrnice NIS2, seriál o kybernetické bezpečnosti: bezpečnostní opatření
Mgr. Michaela Holíková
Vážení posluchači, vítám vás u čtvrtého dílu seriálu naší advokátní kanceláře ROWAN LEGAL na téma směrnice NIS2 a kybernetická bezpečnost. V minulých dílech jsem vám představila směrnici NIS2, shrnula proces identifikace aktiv a přiblížila vám regulované služby a postup jejich ohlašování. V tomto díle se podíváme na bezpečnostní opatření zahrnutá v návrhu nového zákona o kybernetické bezpečnosti a upřesněná prováděcími vyhláškami.
Navrhovaná bezpečnostní opatření se věnují otázce, jak moc je daná organizace zabezpečená. Oblast kybernetické bezpečnosti se totiž skládá z řady metod, která fungují společně a dohromady zajišťují celý systém bezpečnostního řízení.
Bezpečnostní opatření v novém zákoně o kybernetické bezpečnosti
Navržená opatření podle nového zákona o kybernetické bezpečnosti zajistí řádné poskytování regulované služby a kybernetickou bezpečnost aktiv. Hlavní úloha návrhu spočívá v předcházení možným incidentům v kybernetické bezpečnosti prostřednictvím preventivních bezpečnostních opatření. Navíc návrh zahrnuje připravenost na reaktivní opatření, která budou nezbytná k aktivaci v případě, že dojde k kybernetickému bezpečnostnímu incidentu.
Návrh zákona dělí bezpečnostní opatření do dvou skupin podle režimu povinností poskytovatele. Jak již víme z předchozích dílů, existuje vyšší a nižší režim povinností. Pro vyšší režim je stanoveno celkem 25 kategorií bezpečnostních opatření, zatímco pro nižší režim jich je 13, přičemž 12 z nich jsou pro oba režimy shodné.
Opatření upravují pestrou škálu tematických okruhů. Pro lepší pochopení jsem skupiny opatření rozdělila do čtyř skupin. První velkou skupinu jsou personální opatření, do kterých můžeme zařadit požadavky na vrcholné vedení, stanovení rolí a bezpečnost lidských zdrojů. Druhou skupinou jsou opatření spojená s řízením systému kybernetické bezpečnosti, do kterých patří řízení rizik, řízení aktiv či řízení dodavatelů. Třetí skupinou jsou opatření spojená s technologiemi, mezi která patří kryptografické algoritmy, aplikační bezpečnost, správa a ověřování identit nebo třeba bezpečnost komunikačních sítí. V poslední skupině se nachází opatření, která nelze zařadit ani do jedné z předešlých kategorií, jako je provádění auditů kybernetické bezpečnosti nebo plnění dalších regulatorních povinností.
Na závěr bych ráda podotkla, že bezpečnostní opatření mají být zaváděny v míře a způsobem nezbytným pro zajištění kybernetické bezpečnosti regulované služby a souvisejících aktiv v dané společnosti. Poskytovatel regulované služby tedy musí zavádět bezpečnostní opatření v takovém rozsahu, který je pro jeho organizaci relevantní. Poskytovatel regulované služby může některá opatření, například bezpečnostní dohled, realizovat prostřednictvím svých dodavatelů.
Dodavatelé a systém jejich řízení v příštím díle
V takovém případě je však povinen nastavit bezpečnostní požadavky při volbě dodavatele a zohlednit je v příslušných smlouvách. Více o dodavatelích a celém systému jejich řízení si povíme v příštím díle. Těším se na další setkání.
