Letos nás čeká NIS2 – respektive start implementace nových povinností v oblasti kybernetické bezpečnosti pro povinné subjekty. Zásadním datem pro organizace je červenec 2025 – očekávaný termín účinnosti nového zákona o kybernetické bezpečnosti.
Podniky, poskytovatelé kritické infrastruktury a digitálních služeb, obce a další subjekty dotčené národní úpravou NIS2 budou muset do 60 dní od nabytí účinnosti nZKB provést sebeidentifikaci a zaslat ohlášení své služby prostřednictvím Portálu NÚKIB a zahájit tak proces registrace poskytovatelů regulované služby.
Od následného doručení rozhodnutí NÚKIB o provedení registrace začne běžet 12 měsíční přechodná lhůta pro zavedení organizačních a technických opatření k řízení bezpečnostních rizik.
Organizace, které spadají pod regulaci, budou muset:
- registrovat své povinnosti,
- zavést opatření k řízení kybernetické bezpečnosti,
- hlásit incidenty,
- implementovat požadovaná protiopatření.
Poskytovatelé strategicky významných služeb navíc budou muset zajistit bezpečnost svého dodavatelského řetězce a dostupnost kritických služeb.
| Organizační opatření | Technická opatření |
|---|---|
| Systém řízení bezpečnosti informací (ISMS) | Fyzická bezpečnost: Objekt a Infrastruktura |
| Řízení aktiv a rizik | Detekce a prevence kybernetických útoků |
| Řízení bezpečnosti dodavatelů | Šifrování dat |
| Řízení přístupů a změn | Ochrana sítě před neautorizovaným přístupem |
| Školení managementu a zaměstnanců | Záložní systémy pro případ výpadků (havárie, útoky) |
| Testování plánů obnovy | Monitoring provozu sítě a detekce anomálií |
| Řízení kybernetických bezpečnostních incidentů | Detekce a eskalace bezpečnostních incidentů |
| Audit kybernetické bezpečnosti |
