Nový zákon o kybernetické bezpečnosti: Co jako organizace musíte vědět?

Nový zákon o kybernetické bezpečnosti přináší jasné postupy a povinnosti pro organizace při řešení kybernetických bezpečnostních incidentů. Tyto postupy zahrnují detekci, vyhodnocení a hlášení incidentů relevantním úřadům, jako je Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) a Úřad pro ochranu osobních údajů (ÚOOÚ).

Detekce a vyhodnocení kybernetických incidentů

Organizace musí mít zavedené procesy pro monitorování a detekci neobvyklého nebo podezřelého chování v systémech, které by mohlo indikovat narušení bezpečnosti. Jakmile je incident detekován, organizace je povinna do 24 hodin informovat NÚKIB, a to prostřednictvím webového portálu nebo týmu CERT.

Prvotní oznámení musí obsahovat základní informace o incidentu, včetně toho, zda jde o nezákonné jednání nebo zda má incident potenciální přeshraniční dopad.

Aktualizace hlášení a další postupy

Do 72 hodin od zjištění incidentu musí organizace aktualizovat prvotní oznámení a poskytnout detailní informace o závažnosti incidentu. Pokud incident nadále probíhá, NÚKIB nebo CERT může požádat o průběžnou zprávu. Do jednoho měsíce od prvotního oznámení je nutné dodat závěrečnou zprávu, která detailně popíše incident, přijatá opatření a návrhy na prevenci.

Kybernetické incidenty a ochrana osobních údajů

Pokud kybernetický incident zahrnuje narušení osobních údajů, musí organizace informovat Úřad pro ochranu osobních údajů (ÚOOÚ) v souladu s GDPR. Incident musí být oznámen do 72 hodin od jeho zjištění a oznámení by mělo obsahovat povahu incidentu, počet dotčených subjektů a kontaktní údaje pověřence pro ochranu osobních údajů.

Pokud incident představuje vysoké riziko pro práva a svobody jednotlivců, musí organizace bez zbytečného odkladu informovat dotčené subjekty o povaze incidentu a přijatých opatřeních.

Interní procesy a spolupráce

Organizace by měla mít jasně definované interní procesy pro eskalaci incidentů a úzkou spolupráci mezi manažerem kybernetické bezpečnosti a pověřencem pro ochranu osobních údajů. Ve smlouvách s dodavateli by měla být stanovena povinnost informovat organizaci o jakémkoli incidentu, který by mohl ohrozit kybernetickou bezpečnost nebo zpracování osobních údajů.

Povinnosti vůči dodavatelům

Organizace by měla pravidelně prověřovat a auditovat dodavatele z hlediska plnění bezpečnostních požadavků a dodržování oznamovacích povinností. To zajišťuje komplexní ochranu před kybernetickými hrozbami.

Klíčový důraz na rychlost a efektivitu

Nový zákon o kybernetické bezpečnosti klade důraz na rychlou a efektivní reakci na kybernetické bezpečnostní incidenty. Organizace musí být připraveny na zavedení a dodržování těchto postupů, aby zajistily ochranu svých systémů a osobních údajů před kybernetickými hrozbami.

Zajímá vás více o kybernetické bezpečnosti? Pak vřele doporučujeme nadcházející konferenci, která vám ve vaší organizaci pomůže zavést všechny nové postupy krok za krokem!

Nový zákon o kybernetické bezpečnosti 2024 krok za krokem

Samoidentifikace * Vyhodnocování rizik * Dokumentace * Prověřování dodavatelů * Bezpečnostní incidenty