NIS2: Nový zákon o kybernetické bezpečnosti

Rádi vám pomůžeme splnit požadavky nové legislativy bez stresu a včas.

Co nabízíme:

Jak vám můžeme s NIS2 pomoci?

Vstupní konzultace

Nevíte, jak jste připraveni na NIS2?
Zjistěte, kde jsou vaše slabiny a jaké kroky podniknout, abyste byli plně v souladu s nařízeními. Na začátek s vámi probereme vaše bezpečnostní potřeby tak, aby byly v souladu s požadavky NIS2.

Podrobnosti
  • Konzultace ke stavu připravenosti na NIS2
  • Posouzení vaší současné situace v oblasti kybernetické bezpečnosti.
  • Identifikace rizikových a problematických oblastí.
  • Doporučení konkrétních kroků pro dosažení souladu s NIS2.
  • Doporučení alokace finančních prostředků.

KSCO Shield

Technologické řešení kybernetické bezpečnosti KSCO Shield nabízí několik variant řešení přizpůsobených vašim potřebám. Můžete nahradit váš stávající antivirový nástroj, nebo jej doplnit o další bezpečnostní vrstvy.

Podrobnosti
  • KSCO Shield poskytuje nepřetržitou (24×7) ochranu na bázi SIEM technologií a vzdálené správy našimi specialisty.
  • Naše řešení může nahradit váš aktuální antivirový nástroj, nebo fungovat paralelně s vaším stávajícím softwarem a hardwarem.
  • Pro soulad s NIS2 je třeba doplnit technické řešení KSCO Shield o kompletní dokumentaci (vycházející z analýzy) a osobu zodpovědnou za kybernetickou bezpečnost.

Školení

Náš program školení je určen jak pro management, tak pro všechny zaměstnance a je zaměřen na zvýšení povědomí o aktuálních kybernetických hrozbách a na osvojení si správných bezpečnostních praktik a postupů.
Podrobnosti
  • Školení probíhá jednorázově nebo pravidelně, minimálně jednou ročně, v závislosti na potřebách a specifikách vaší organizace.
  • Program zahrnuje teoretickou část, kde jsou prezentovány nejnovější informace o kybernetických útocích, včetně phishingu, malwaru a sociálního inženýrství.
  • Dále se zaměřuje na praktické ukázky a cvičení, které účastníkům pomáhají lépe pochopit a aplikovat bezpečnostní opatření v každodenní praxi.
  • Školení je zakončeno získáním certifikátu.

Analýza aktuálního stavu

Analýza je nutný krok, identifikuje rozdíly ve vaší současné bezpečnostní politice a kybernetické ochraně a navrhuje konkrétní řešení k posílení vaší bezpečnosti tak, aby byla firma v souladu s nařízením NIS2.

Podrobnosti

Jak vypadá průběh analýzy:

  • Stanovení  harmonogramu analýzy.
  • Šetření o aktuálním stavu kybernetické bezpečnosti v jednotlivých odděleních organizace.
  • Vypracování GAP analýzy, která zahrnuje evidenci a hodnocení aktiv, identifikaci rizik, hodnocení rizik a návrh na implementaci bezpečnostních opatření.
  • Zhodnocení výsledků a stanovení dalších postupů k dosažení souladu s NIS2.

Dokumentace pro soulad s NIS2

Dokumentace pro zajištění souladu s nařízením NIS2 je vytvořena na základě závěrů GAP analýzy a je vždy přizpůsobena specifickým potřebám dané společnosti.

Podrobnosti
  • Dokumentaci nelze vypracovat podle univerzální šablony, protože musí reflektovat konkrétní potřeby, procesy, aktiva a rizika firmy.
  • Tento individuální přístup zajišťuje, že veškerá bezpečnostní opatření a postupy budou plně odpovídat specifikům vaší organizace a požadavkům legislativy.
  • Mezi požadované dokumenty pro soulad s NIS2 patří např.: Politika zajišťování minimální úrovně kybernetické bezpečnosti, Politika bezpečnosti lidských zdrojů, Politika řízení kontinuity činností, Politika řízení přístupu, Politika detekce kybernetických bezpečnostních událostí a řešení kybernetických bezpečnostních incidentů, Politika bezpečnosti komunikační sítě, Politika aplikační bezpečnosti, Evidence aktiv, Přehled bezpečnostních opatření, Plány obnovy a další …

Osoba odpovědná za kybernetickou bezpečnost

Outsorcing osoby odpovědné za kybernetickou bezpečnost naší společností vám formálně a prakticky zajistí zabezpečení vaší organizace tak, aby splňovala veškeré požadavky na tuto roli podle standardů NIS2.

Podrobnosti
  • Tento odborník přebírá odpovědnost za všechny aspekty kybernetické ochrany, monitoruje a spravuje bezpečnostní procesy, identifikuje a vyhodnocuje rizika, doporučuje bezpečnostní opatření a poskytuje poradenství.
  • Odpovědná osoba zajišťuje pravidelné reporty a dodržování bezpečnostních standardů, což vám umožňuje soustředit se na hlavní činnosti vaší firmy, zatímco my se postaráme o vaši kybernetickou bezpečnost.
  • Naše služba Outsorcingu osoby odpovědné za kybernetickou bezpečnost je krytá pojištěním odpovědnosti způsobenou provozní činností.

Proč si vybrat Keystone Company

V oblasti kybernetické bezpečnosti se pohybujeme již řadu let a máme širokou síť odborníků a partnerů, kteří zajišťují správu pro řadu firem a státních organizací.
Co všechno získáte spoluprací s námi?

Komplexní řešení firemní bezpečnosti

Pomůžeme efektivně eliminovat konkrétní hrozby. Vaše firma bude odolnější vůči útokům zvenčí. Ochráníme vaše klíčové firemní aktivity.

Konkurenční výhodu

Naplněním legislativních povinností dostojíte požadavkům na nově určené povinné osoby tak, jak potřebují vaši zákazníci.

Úsporu nákladů

Na základě analýzy bezpečnosti nadefinujeme priority a navrhneme vám nejvhodnější strategii pro cílení investic.

Expertní know-how

Pomůžeme vám zajistit řádné plnění procesních, dokumentačních a technických povinností a zvýšit efektivitu fungování.

Co je NIS2:

NIS2 je nová směrnice Evropské unie, která má za cíl zvýšit odolnost institucí a firem proti kybernetickým hrozbám. V České republice se tato směrnice promítne do legislativy formou nového Zákona o kybernetické bezpečnosti, který významně rozšíří počet regulovaných subjektů a rozsah jejich povinností.
Jasně určuje zodpovědnost top managementu firmy za kybernetickou bezpečnost.
Stanovuje požadavek na hlídání kybernetické bezpečnosti i ve svém dodavatelském řetězci a požaduje stanovení odpovědné osoby za kybernetickou bezpečnost.

Koho se směrnice NIS2 týká?

Směrnice ovlivní 18 odvětví, konkrétně subjekty a jejich dceřinné společnosti poskytující některou ze 60 vyjmenovaných služeb. NIS2 se dotkne více než 10 000 společností v České republice, nicméně povinnost sebeurčení má každá firma. Na společnost se nevztahuje NIS2, ale je v dodavatelském řetězci.

Zjistěte, zda se vás týká regulace NIS2

Zkontrolujte si, zda vaše společnost spadá pod směrnici NIS2 a zákon o Kybernetické bezpečnosti. Vyberte všechny činnosti, kterými se zabýváte, nejen hlavní činnost podnikání, a uveďte počet zaměstnanců a roční obrat vaší společnosti v Eur. Základní kontrola je plně anonymní.

Online formulář pro rychlé zjištění, zda firma spadá pod regulaci NIS2.

Q&A

Směrnice NIS2 – Znáte odpověď na tyto otázky?

Kdy budou společnosti muset začít plnit požadavky NIS2?

Členské státy EU musí požadavky NIS2 přenést do svých vnitrostátních právních předpisů do 17.října 2024. V ČR budou požadavky NIS2 zapracované v nové verzi Zákona o kybernetické bezpečnosti.

Účinnost nového zákona se předpokládá k datu 18.října 2024. Od té doby začne organizacím, které splňují kritéria poskytovatele regulované služby, běžet lhůta, kdy se musí registrovat u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).

Nejpozději by tak měly učinit do 16. ledna 2025. NÚKIB poté pošle společnosti vyrozumění o zápisu regulované služby. Následně začne běžet lhůta 1 roku, během které musí společnost zavést odpovídající bezpečnostní opatření.

Co znamená NIS2 pro vedení společnosti?

Řídicí orgány musí být schopny identifikovat a vyhodnocovat opatření pro řízení rizik kybernetické bezpečnosti.

Musí být schopny schvalovat opatření ve vztahu k zásadám řízení rizik, které jsou ve společnosti platné, a dohlížet na provádění těchto opatření.

Členové správních orgánů musí být také pravidelně vzděláváni a školeni, aby mohli plnění všech těchto povinností řádně řídit.

Kam a jak se mají organizace k povinnostem zaregistrovat?

Organizace, které spadají pod směrnici NIS2, se musí zaregistrovat u příslušného národního regulátora kybernetické bezpečnosti, což v České republice bude pravděpodobně Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Registrace obvykle probíhá prostřednictvím online platformy, kde organizace uvedou relevantní údaje o svých činnostech, počtu zaměstnanců a ročním obratu.

Jaké nové požadavky směrnice NIS2 zavádí?

Mezi základní povinnosti, které NIS2, resp. nový Zákon o kybernetické bezpečnosti zavádí, patří:

Přímá odpovědnost organizace a jejího managementu za dodržování nařízení ZoKB.

Nastavení systému řízení rizik v rámci vlastních sítí a informačních systémů.

Zavedení zákonem stanoveného minimálního standardu bezpečnostních opatření včetně bezpečnosti dodavatelského řetězce.

Vytvoření týmu, který bude schvalovat opatření v oblasti kyberbezpečnosti a dohlížet na jejich dodržování.

Primární ukládání dat na území České republiky s možností ukládat data v šifrované podobě v dalších zemích EU, NATO nebo Organizace pro ekonomickou spolupráci.

Povinné dvoufázové hlášení bezpečnostních incidentů Národnímu úřadu pro kybernetickou a informační bezpečnost.

A další…

Jak bude probíhat hlášení incidentů?

Hlášení kybernetických incidentů bude probíhat prostřednictvím speciálního portálu spravovaného NÚKIB. Organizace budou povinny nahlásit incidenty do určitého časového rámce, který stanoví nový zákon, obvykle do 24 hodin od zjištění incidentu. Hlášení bude obsahovat informace o povaze incidentu, jeho dopadu na služby a opatření přijatých k jeho řešení.

Jak bude probíhat hlášení incidentů?

Hlášení kybernetických incidentů bude probíhat prostřednictvím speciálního portálu spravovaného NÚKIB. Organizace budou povinny nahlásit incidenty do určitého časového rámce, který stanoví nový zákon, obvykle do 24 hodin od zjištění incidentu. Hlášení bude obsahovat informace o povaze incidentu, jeho dopadu na služby a opatření přijatých k jeho řešení.

Co přináší mechanismus prověřování dodavatelského řetězce a koho se bude týkat?

Mechanismus prověřování dodavatelského řetězce zavedený směrnicí NIS2 znamená, že organizace budou muset prověřovat své dodavatele a subdodavatele, aby zajistily, že i oni splňují požadavky na kybernetickou bezpečnost. Tento mechanismus se bude týkat všech subjektů, které poskytují kritické služby nebo dodávají komponenty, které mohou ovlivnit bezpečnost těchto služeb. Cílem je snížit rizika spojená s dodavatelským řetězcem a zajistit vyšší úroveň ochrany proti kybernetickým hrozbám.

Kdo bude provádět kontroly dodržování povinností nového zákona?

Kontroly dodržování povinností podle nového zákona o kybernetické bezpečnosti bude provádět NÚKIB. Tento úřad bude mít pravomoc provádět audity, kontrolovat dokumentaci a systémy organizací, a také ukládat sankce za nedodržování zákonných požadavků.

Jaká bude výše sankcí za nedodržování povinností?

Výše sankcí za nedodržování povinností stanovených novým zákonem o kybernetické bezpečnosti bude stanovena v závislosti na závažnosti přestupku. Sankce mohou zahrnovat pokuty ve výši až několika milionů korun, přičemž konkrétní částky budou definovány v prováděcích předpisech zákona. V některých případech mohou být sankce odstupňovány podle velikosti organizace a závažnosti porušení.

Jak se nový zákon o kybernetické bezpečnosti dotýká obcí a vysokých škol?

Nový zákon o kybernetické bezpečnosti se bude vztahovat i na obce a vysoké školy, pokud poskytují kritické služby nebo spravují citlivé informace. Tyto instituce budou muset implementovat opatření na ochranu kybernetické bezpečnosti, pravidelně provádět hodnocení rizik a hlásit kybernetické incidenty. Obce a vysoké školy budou také povinny zajišťovat školení pro své zaměstnance a provádět pravidelné audity bezpečnostních opatření.