Nový zákon o kybernetické bezpečnosti: Co jako organizace musíte vědět?

Nový zákon o kybernetické bezpečnosti přináší jasné postupy a povinnosti pro organizace při řešení kybernetických bezpečnostních incidentů. Tyto postupy zahrnují detekci, vyhodnocení a hlášení incidentů relevantním úřadům, jako je Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) a Úřad pro ochranu osobních údajů (ÚOOÚ).

Detekce a vyhodnocení kybernetických incidentů

Organizace musí mít zavedené procesy pro monitorování a detekci neobvyklého nebo podezřelého chování v systémech, které by mohlo indikovat narušení bezpečnosti. Jakmile je incident detekován, organizace je povinna do 24 hodin informovat NÚKIB, a to prostřednictvím webového portálu nebo týmu CERT.

Prvotní oznámení musí obsahovat základní informace o incidentu, včetně toho, zda jde o nezákonné jednání nebo zda má incident potenciální přeshraniční dopad.

Aktualizace hlášení a další postupy

Do 72 hodin od zjištění incidentu musí organizace aktualizovat prvotní oznámení a poskytnout detailní informace o závažnosti incidentu. Pokud incident nadále probíhá, NÚKIB nebo CERT může požádat o průběžnou zprávu. Do jednoho měsíce od prvotního oznámení je nutné dodat závěrečnou zprávu, která detailně popíše incident, přijatá opatření a návrhy na prevenci.

Kybernetické incidenty a ochrana osobních údajů

Pokud kybernetický incident zahrnuje narušení osobních údajů, musí organizace informovat Úřad pro ochranu osobních údajů (ÚOOÚ) v souladu s GDPR. Incident musí být oznámen do 72 hodin od jeho zjištění a oznámení by mělo obsahovat povahu incidentu, počet dotčených subjektů a kontaktní údaje pověřence pro ochranu osobních údajů.

Pokud incident představuje vysoké riziko pro práva a svobody jednotlivců, musí organizace bez zbytečného odkladu informovat dotčené subjekty o povaze incidentu a přijatých opatřeních.

Interní procesy a spolupráce

Organizace by měla mít jasně definované interní procesy pro eskalaci incidentů a úzkou spolupráci mezi manažerem kybernetické bezpečnosti a pověřencem pro ochranu osobních údajů. Ve smlouvách s dodavateli by měla být stanovena povinnost informovat organizaci o jakémkoli incidentu, který by mohl ohrozit kybernetickou bezpečnost nebo zpracování osobních údajů.

Povinnosti vůči dodavatelům

Organizace by měla pravidelně prověřovat a auditovat dodavatele z hlediska plnění bezpečnostních požadavků a dodržování oznamovacích povinností. To zajišťuje komplexní ochranu před kybernetickými hrozbami.

Klíčový důraz na rychlost a efektivitu

Nový zákon o kybernetické bezpečnosti klade důraz na rychlou a efektivní reakci na kybernetické bezpečnostní incidenty. Organizace musí být připraveny na zavedení a dodržování těchto postupů, aby zajistily ochranu svých systémů a osobních údajů před kybernetickými hrozbami.

Nový zákon o kybernetické bezpečnosti 2024 krok za krokem

Další články

Novela k ochraně obchodního tajemství od 1. 1. 2027: firmy čekají jasnější pravidla

Co dnes ve firmě skutečně představuje obchodní tajemství? Jsou vaše know-how, interní data, obchodní strategie nebo AI workflow opravdu chráněné?

Evidence pracovní doby a evidence docházky

Evidence pracovní doby a evidence docházky: Jaké jsou povinnosti zaměstnavatele podle zákoníku práce?

Evidence pracovní doby patří mezi základní povinnosti každého zaměstnavatele. Správně vedené záznamy slouží jako podklad pro výpočet mzdy, náhrad mzdy...

Nová pravidla pro AI

AI Act: Nová pravidla pro umělou inteligenci. Koho se týkají a jaké povinnosti přinášejí?

AI Act, tedy nařízení o umělé inteligenci, představuje významnou součást evropské legislativy. Přestože vstoupil v platnost už 1. srpna 2024,...

Požárně bezpečnostní řešení

Požárně bezpečnostní řešení: Co musí obsahovat projektová dokumentace

Správné užívání a údržba budov z pohledu požární ochrany vychází z projektové dokumentace ověřené stavebním úřadem. Její součástí je požárně...

eIDAS 2.0 ve spisové službě

eIDAS 2.0 ve spisové službě: Co přinese digitální identita občanům, firmám i veřejné správě

Nařízení eIDAS 2.0 přináší změny, které se dotknou fungování spisové služby, elektronické komunikace i ověřování totožnosti. Zásadní roli bude hrát...

ListoBOX

ListoBOX: první výdejní box pro virtuální sídla v Česku – každé druhé vyzvednutí probíhá mimo běžnou pracovní dobu

Analýza 2 595 vyzvednutí firemní pošty přes ListoBOX ukazuje, že 47 % z nich proběhlo mimo běžnou pracovní dobu (8:00–16:00)....