Nový zákon o kybernetické bezpečnosti: Co jako organizace musíte vědět?
Nový zákon o kybernetické bezpečnosti přináší jasné postupy a povinnosti pro organizace při řešení kybernetických bezpečnostních incidentů. Tyto postupy zahrnují detekci, vyhodnocení a hlášení incidentů relevantním úřadům, jako je Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) a Úřad pro ochranu osobních údajů (ÚOOÚ).
Detekce a vyhodnocení kybernetických incidentů
Organizace musí mít zavedené procesy pro monitorování a detekci neobvyklého nebo podezřelého chování v systémech, které by mohlo indikovat narušení bezpečnosti. Jakmile je incident detekován, organizace je povinna do 24 hodin informovat NÚKIB, a to prostřednictvím webového portálu nebo týmu CERT.
Prvotní oznámení musí obsahovat základní informace o incidentu, včetně toho, zda jde o nezákonné jednání nebo zda má incident potenciální přeshraniční dopad.
Aktualizace hlášení a další postupy
Do 72 hodin od zjištění incidentu musí organizace aktualizovat prvotní oznámení a poskytnout detailní informace o závažnosti incidentu. Pokud incident nadále probíhá, NÚKIB nebo CERT může požádat o průběžnou zprávu. Do jednoho měsíce od prvotního oznámení je nutné dodat závěrečnou zprávu, která detailně popíše incident, přijatá opatření a návrhy na prevenci.
Kybernetické incidenty a ochrana osobních údajů
Pokud kybernetický incident zahrnuje narušení osobních údajů, musí organizace informovat Úřad pro ochranu osobních údajů (ÚOOÚ) v souladu s GDPR. Incident musí být oznámen do 72 hodin od jeho zjištění a oznámení by mělo obsahovat povahu incidentu, počet dotčených subjektů a kontaktní údaje pověřence pro ochranu osobních údajů.
Pokud incident představuje vysoké riziko pro práva a svobody jednotlivců, musí organizace bez zbytečného odkladu informovat dotčené subjekty o povaze incidentu a přijatých opatřeních.
Interní procesy a spolupráce
Organizace by měla mít jasně definované interní procesy pro eskalaci incidentů a úzkou spolupráci mezi manažerem kybernetické bezpečnosti a pověřencem pro ochranu osobních údajů. Ve smlouvách s dodavateli by měla být stanovena povinnost informovat organizaci o jakémkoli incidentu, který by mohl ohrozit kybernetickou bezpečnost nebo zpracování osobních údajů.
Povinnosti vůči dodavatelům
Organizace by měla pravidelně prověřovat a auditovat dodavatele z hlediska plnění bezpečnostních požadavků a dodržování oznamovacích povinností. To zajišťuje komplexní ochranu před kybernetickými hrozbami.
Klíčový důraz na rychlost a efektivitu
Nový zákon o kybernetické bezpečnosti klade důraz na rychlou a efektivní reakci na kybernetické bezpečnostní incidenty. Organizace musí být připraveny na zavedení a dodržování těchto postupů, aby zajistily ochranu svých systémů a osobních údajů před kybernetickými hrozbami.
Zajímá vás více o kybernetické bezpečnosti? Pak vřele doporučujeme nadcházející konferenci, která vám ve vaší organizaci pomůže zavést všechny nové postupy krok za krokem!
Nový zákon o kybernetické bezpečnosti 2024 krok za krokem
Samoidentifikace * Vyhodnocování rizik * Dokumentace * Prověřování dodavatelů * Bezpečnostní incidenty