Co znamená režim nižších nebo vyšších povinností kybernetické bezpečnosti firmy?
Nový zákon o kybernetické bezpečnosti, který vstoupil v platnost 1. listopadu 2025, přináší zásadní změny v oblasti ochrany kritické infrastruktury a důležitých služeb v České republice. Tento právní předpis implementuje evropskou směrnici NIS2 (Network and Information Systems Directive 2), která představuje druhou generaci unijních pravidel pro kybernetickou bezpečnost. Směrnice NIS2 byla přijata Evropským parlamentem a Radou EU jako reakce na rostoucí počet a sofistikovanost kybernetických útoků, které ohrožují nejen jednotlivé organizace, ale celé národní ekonomiky a kritickou infrastrukturu členských států.
Režim nižších povinností - základní bezpečnostní opatření
Organizace zařazené do režimu nižších povinností v kyberbezpečnosti musí splnit řadu základních, ale zásadních bezpečnostních požadavků. Prvním stupněm těchto povinností je zavedení technických opatření na ochranu počítačových sítí, informačních systémů a dat. To zahrnuje instalaci a pravidelnou aktualizaci antivirových programů, firewallů a dalších bezpečnostních nástrojů, které chrání před neoprávněným přístupem a škodlivým softwarem. Součástí technických opatření je také implementace pravidel pro tvorbu a správu silných hesel, včetně požadavků na jejich komplexnost, pravidelnou změnu a bezpečné ukládání.
Druhým klíčovým prvkem je pravidelné vzdělávání všech zaměstnanců organizace v oblasti kybernetické bezpečnosti. Tato školení musí pokrývat aktuální bezpečnostní hrozby, jako jsou phishingové útoky, sociální inženýrství nebo ransomware, a učit zaměstnance rozpoznávat podezřelé aktivity a správně na ně reagovat. Školení se musí účastnit nejen řadoví zaměstnanci, ale i vedení organizace, které nese konečnou odpovědnost za implementaci bezpečnostních opatření.
Třetím požadavkem je jmenování konkrétních pracovníků odpovědných za dohled nad kybernetickou bezpečností organizace. Tito pracovníci nemusí být nutně specialisté na plný úvazek, ale musí mít jasně definované pravomoci a odpovědnosti v oblasti bezpečnosti. Jejich úkolem je koordinovat implementaci bezpečnostních opatření, sledovat aktuální hrozby a zajišťovat compliance s právními požadavky.
Čtvrtým kritériem je včasné odhalování bezpečnostních hrozeb a implementace opatření k jejich odvrácení. To zahrnuje nasazení systémů pro monitoring síťového provozu, pravidelné bezpečnostní audity a vytvoření procedur pro rychlou reakci na identifikované hrozby.
Režim vyšších povinností - pokročilá bezpečnostní architektura
Organizace spadající do režimu vyšších povinností musí kromě všech opatření požadovaných v nižším režimu implementovat také řadu pokročilejších bezpečnostních mechanismů. Prvním z těchto dodatečných požadavků je zajištění dostatečných zdrojů pro fungování systému řízení bezpečnosti informací (ISMS - Information Security Management System). To znamená nejen alokaci odpovídajícího rozpočtu, ale také zajištění kvalifikovaných lidských zdrojů a technologické infrastruktury potřebné pro efektivní řízení kybernetické bezpečnosti.
Druhým rozšířeným požadavkem je stanovení detailních pravidel pro určování administrátorů a osob zastávajících bezpečnostní role v organizaci. Tato pravidla musí jasně definovat kritéria pro výběr těchto klíčových pozic, jejich kvalifikační požadavky a procesy pro jejich pravidelné přehodnocování. Organizace musí také zajistit, že osoby v bezpečnostních rolích mají dostatečné pravomoci k efektivnímu plnění svých úkolů, včetně přístupu k potřebným informacím a systémům.
Třetím kritickým prvkem je zajištění adekvátních zdrojů, včetně rozpočtových prostředků, pro osoby v bezpečnostních rolích. To zahrnuje nejen jejich mzdy a školení, ale také prostředky na pořízení a údržbu bezpečnostních nástrojů a technologií, které potřebují k efektivnímu výkonu své práce.
Čtvrtým a velmi důležitým požadavkem je pravidelné testování plánů kontinuity činností, plánů obnovy a procesů pro zvládání kybernetických bezpečnostních incidentů. Tyto testy musí být prováděny v realistických scénářích a jejich výsledky musí být dokumentovány a použity pro další zlepšování bezpečnostních procesů. Testování zahrnuje také simulace různých typů kybernetických útoků a ověřování efektivity připravených reakcí.
Určení příslušného režimu
Zařazení firmy do příslušného režimu povinností se řídí podle vyhlášky o regulovaných službách, která stanovuje konkrétní kritéria pro klasifikaci. Tato kritéria typicky zahrnují velikost organizace (počet zaměstnanců, obrat), typ poskytovaných služeb a jejich kritičnost pro fungování společnosti nebo ekonomiky. Vyhláška také specifikuje seznam regulovaných služeb, které spadají pod působnost zákona o kybernetické bezpečnosti.
Pravidlo rozšíření režimu
Důležitým aspektem nového zákona je pravidlo, podle kterého pokud organizace spadá do režimu vyšších povinností u alespoň jedné ze svých regulovaných služeb, tento náročnější režim se automaticky vztahuje na všechny regulované služby poskytované touto organizací. Toto pravidlo zabraňuje vytváření různých úrovní bezpečnosti v rámci jedné organizace a zajišťuje konzistentní bezpečnostní standardy napříč všemi jejími kritickými aktivitami. Přístup také zjednodušuje kontrolu dodržování požadavků a eliminuje možné bezpečnostní mezery, které by mohly vzniknout při aplikaci různých standardů na různé části téže organizace.
Celkově tak nový zákon o kybernetické bezpečnosti představuje vyvážený přístup, který zohledňuje jak potřebu adekvátní ochrany kritické infrastruktury, tak i praktické možnosti různých typů organizací při implementaci bezpečnostních opatření.
