w w w . v i a v i s . c z
1 / 30
Regulace – NIS2
Kybernetická a informační bezpečnost II
Vladimír Lazecký
vladimir.lazecky@viavis.cz
www.viavis.cz
2 / 30
Malé opakování
Co je to bezpečnost?
Jak rozumíte pojmu kybernetická bezpečnost?
Jaký je rozdíl mezi informační a kybernetickou bezpečností?
O co se kybernetická bezpečnost opírá?
Co je to informace? Data?
www.viavis.cz
3 / 30
Co je a není bezpečnost
Bezpečnost je schopnost aktiva odolávat hrozbám
Aktivum – vše, co má hodnotu
Primární aktivum - ERP systém, dobré jméno…
Podpůrná aktiva – lidé, servery, SW…
POZOR – bezpečnost není stav
Hluboký omyl
www.viavis.cz
4 / 30
Informační x kybernetická bezpečnost
Informační bezpečnost:
Zajištění stanovené úrovně bezpečnosti informací
Bezpečnost informací = důvěrnost, dostupnost, integrita
Kybernetická bezpečnost – podmnožina informační bezpečnosti – bezpečnost v kyber prostoru
Neexistuje oddělená bezpečnost
www.viavis.cz
5 / 30
Motivy, proč informační bezpečnost řešit
Hodnota akYva:
Stanovení hodnot – analýza rizik
Bezcenné akYvum nemá smysl chránit
MoYvy:
Osobní bezpečnost
Bezpečnost organizace
Bezpečnost státu, mezinárodního společenství
www.viavis.cz
6 / 30
Téma dne – jak kybernetickou bezpečnost vynutit
Jak byste vynutili KB v:
Soukromých společnostech
Státních institucích
Soukromých osobách
www.viavis.cz
7 / 30
Regulace na úrovni státu
Informační/kybernetická bezpečnost v právním řádu:
ZÁKON 412/2005 Sb. ze dne 21. září 2005 o ochraně utajovaných informací a
o bezpečnostní způsobilosti
Navazující vyhlášky – kryptografická ochrana
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících
zákonů (zákon o kybernetické bezpečnosti)
Nová vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti
www.viavis.cz
8 / 30
Regulace na úrovni státu
Informační/kybernetická bezpečnost v právním řádu – nepřímo a zjednodušeně:
ZÁKON 412/2005 Sb. ze dne 21. září 2005 o ochraně utajovaných informací a
o bezpečnostní způsobilosti
89/2012 Sb. občanský zákoník
Obecné nařízení o ochraně osobních údajů (GDPR) 2016/679
Zákon č. 110/2019 Sb. o zpracování osobních údajů
Trestní zákoník …
www.viavis.cz
9 / 30
Aktuálně – NIS2
NIS2 – nová směrnice EU o kybernetické bezpečnosti
Konečné znění bylo zveřejněno 27.12.2022 ve věstníku EU
NIS2 stanovuje cíl, který musí členské země splnit
Způsob splnění je na členských zemích
V ČR – návrh nového zákona o kybernetické bezpečnosti
Transpoziční lhůta do 16.10.2024
www.viavis.cz
10 / 14
NIS2 – přehled stavu
www.viavis.cz
11 / 14
Hlavní požadavky NIS 2
Podle čl. 7:
Přijetí národní strategie kybernetické bezpečnosti a kybernetických bezpečnostních politik pro
vybrané oblasti (např. bezpečnost dodavatelského řetězce, koordinované zveřejňování informací o
zranitelnostech, zvláštní potřeby malých a středních podniků);
Strategie dále stanovuje:
Strategické cíle
Zdroje k dosažení cílů
Politiky a regulační opatření
www.viavis.cz
12 / 14
Hlavní požadavky NIS 2
Podle čl. 12:
Zveřejňování informací o zranitelnostech a zřízení Evropské databáze zranitelnosN
každý členský stát určí jeden ze svých týmů CSIRT (CERT) jakožto koordinátora zveřejňování
zranitelnosN
KB I – přednáška hackerem snad a rychle, OSINT, databáze zranitelnos@
www.viavis.cz
13 / 14
Hlavní požadavky NIS 2
Podle čl. 13:
Spolupráce s vnitrostátními úřady a organizacemi a koordinace dozorových činností u organizací,
kterým plyne povinnost zajišťovat kybernetickou bezpečnost z více právních předpisů (např. v
odvětvích energetiky, letectví nebo ochrany osobních údajů)
Rozumíte tomu?
www.viavis.cz
14 / 14
Hlavní požadavky NIS 2
Podle čl. 14, 15, 16:
Spolupráce s členskými státy v oblastech kybernetického krizového řízení, řešení rozsáhlých
kybernetických bezpečnostních incidentů a sdílení strategických informací a dobré praxe
A tomu rozumíte?
www.viavis.cz
15 / 14
Hlavní požadavky NIS 2
Podle čl. 37:
Hlubší spolupráce s dozorovými orgány ostatních členských států na provádění kontrol a vymáhání
dodržování uložených povinností
Cílem ustanovení nazvaného jako tzv. vzájemná pomoc je nastavit pravidla kontroly takovým
způsobem, aby po obdržení odůvodněné žádosti poskytnul úřad vykonávající kontroly kybernetické
bezpečnosti v jednom členském státě pomoc druhému úřadu z jiného členského státu, aby bylo
možné účinně, účelně a důsledně provést kontrolu, respektive opatření v oblasti dohledu nebo
vymáhání
www.viavis.cz
16 / 14
Hlavní požadavky NIS 2
Podle čl. 21 a 23:
Větší zapojení Evropské komise do sjednocení regulace v členských státech (např. formou
jednotných metodik pro zavádění bezpečnostních opatření nebo jednotných formulářů pro hlášení
incidentů)
Komise může přijmout prováděcí akty, kterými stanoví technické, metodické a případně odvětvově
specifické požadavky
.
www.viavis.cz
17 / 14
Hlavní požadavky NIS 2
Podle čl. 2:
Rozšíření počtu povinných osob (odhady hovoří o nejméně 6 000 soukromých i státních
organizacích), a to jednak rozšířením regulovaných odvětví (např. odvětví odpadového
hospodářství), dále rozšířením stávajících regulovaných odvětví o nové regulované služby (např.
stávající odvětví digitální infrastruktury o nové regulované služby cloud computingu nebo
poskytovatele služeb a sítí elektronických komunikací) a nebo změnou způsobu identifikace
povinných osob (kdy primárním kritériem pro zařazení do regulace bude velikost organizace);
www.viavis.cz
18 / 14
Hlavní požadavky NIS 2
Podle čl. 20:
povinné vzdělávání vrcholového vedení organizace a větší odpovědnost managementu za
zajišťování kybernetické bezpečnosti v organizaci
členové řídících orgánů povinných osob musí absolvovat školení, aby tak získali dostatečné znalosti
a dovednosti, aby mohli identifikovat rizika a posoudit postupy řízení kybernetických
bezpečnostních rizik a jejich dopad na poskytované služby
Podle čl. 30 dobrovolné hlášení relevantních incidentů, událostí, hrozeb a zranitelností
www.viavis.cz
19 / 14
Hlavní požadavky NIS 2
Podle čl. 27 a 28 podrobnější požadavky na vedení registru internetových domén nejvyšší
úrovně a činnost registrátorů
Podle čl. 29 větší důraz na sdílení informací mezi povinnými organizacemi
www.viavis.cz
20 / 14
Hlavní požadavky NIS 2
Podle čl. 34 významné zvýšení pokut za nedodržení uložených povinností:
v případě porušení povinností tzv. „essential entity“ (česky základními subjekty), pokuty, jejichž
horní hranice sazby bude stanovena na nejméně 10 milionů EUR nebo na alespoň 2 % celkového
celosvětového ročního obratu v předchozím rozpočtovém roce, podle toho, co je vyšší
v případě porušení povinností tzv. „important entity“ (česky důležitými subjekty) pokuty, jejichž
horní hranice sazby bude stanovena na nejméně 7 milionů EUR nebo na alespoň 1,4 % celkového
celosvětového ročního obratu v předchozím rozpočtovém roce, podle toho, co je vyšší
Pamatujete GDPR hysterii?
Je efektivní cestou strašení pokutami?
www.viavis.cz
21 / 14
Nový návrh zákona o kybernetické bezpečnosti
Poskytovatel regulované služby:
Musí naplňovat kritéria stanovená navrhovanou vyhláškou o regulovaných službách
Pomocí samoidentifikace zjistí, pro jakou službu nebo služby je regulován
Následně se musí NÚKIB sám nahlásit (registrovat) a je zapsán do evidence
www.viavis.cz
22 / 14
Nový návrh zákona o kybernetické bezpečnosti
Režim povinností poskytovatele regulované služby:
Režim vyšších povinností
Režim nižších povinností
www.viavis.cz
23 / 14
Nový návrh zákona o kybernetické bezpečnosti
Povinnosti poskytovatele regulované služby:
Registrace NÚKIB
Stanovit rozsah řízení kybernetické bezpečnosti
Zavádět bezpečnostní opatření
Hlásit kybernetické bezpečnostní incidenty
Informovat zákazníky o incidentech a hrozbách
Provádět protiopatření
www.viavis.cz
24 / 14
Nový návrh zákona o kybernePcké bezpečnosP
Povinnosti poskytovatele regulované služby:
Uplatnit pravidla lokalizace dat
Plnit povinnosti mechanismu řízení bezpečnosti dodavatelského řetězce
Podřídit se výkonu kontroly inspektorem
Diskuse – kde vidíte problémy?
www.viavis.cz
25 / 14
Poskytovatelé regulovaných služeb
www.viavis.cz
26 / 14
Poskytovatelé regulovaných služeb
www.viavis.cz
27 / 14
Režim vyšších povinností
Systém řízení bezpečnosti informací – ISMS:
Cíle ISMS k zajištění bezpečnosti regulované služby
Na základě cílů, bezpečnostních potřeb, hodnocení rizik zavede přiměřená bezpečnostní opatření
Řídí rizika
Vytvoří a schválí bezpečnostní politiku
Zajistí provedení auditu kybernetické bezpečnosti
Zajistí vyhodnocení účinnosti systému řízení bezpečnosti informací alespoň
jednou ročně
www.viavis.cz
28 / 14
Režim vyšších povinností
Systém řízení bezpečnosti informací – ISMS
Na základě vyhodnocení účinnosti systému řízení bezpečnosti informací zpracuje zprávu o
přezkoumání systému řízení bezpečnosti informací
Průběžně identifikuje a řídí významné změny
Aktualizuje systém řízení bezpečnosti informací a příslušnou dokumentaci
Řídí provoz a zdroje systému řízení bezpečnosti informací a zaznamenává
činnosti
Stanoví proces řízení výjimek z pravidel
www.viavis.cz
29 / 14
Režim vyšších povinnosR
Povinnosti vrcholového vedení:
Vrcholové vedení se prokazatelně účastní školení
Zajistí stanovení bezpečnostní politiky a cílů systému řízení bezpečnosti
informací
Zajistí integraci systému řízení bezpečnosti informací do procesů povinné
osoby
Zajistí dostupnost zdrojů potřebných pro systém řízení bezpečnosti informací
Informuje zaměstnance o významu systému řízení bezpečnosti informací
Zajistí podporu k dosažení cílů systému řízení bezpečnosti informací
Vede zaměstnance k rozvíjení efektivity systému řízení bezpečnosti informací
Podílí se na vypracování analýzy dopadů (BIA)
www.viavis.cz
30 / 14
Režim vyšších povinností
Povinnosti vrcholového vedení:
Prosazuje neustálé zlepšování systému řízení bezpečnosti informací
Podporuje osoby zastávající bezpečnostní role
Zajistí stanovení pravidel pro určení administrátorů a osob, které budou zastávat
bezpečnostní role
Zajistí, aby byla zachována mlčenlivost administrátorů a osob zastávajících
bezpečnostní role
Pro osoby zastávající bezpečnostní role zajistí příslušné pravomoci a zdroje
Zajistí testování plánů kontinuity činností, plánů obnovy a procesů spojených se
zvládáním kybernetických bezpečnostních incidentů
www.viavis.cz
31 / 14
Režim vyšších povinností
Vrcholové vedení se prokazatelně seznamuje se:
Zprávou o přezkoumání systému řízení bezpečnosd informací
Zprávou o hodnocení rizik
Výsledky analýzy dopadů
Výsledky auditů kybernedcké bezpečnosd a kontrol v oblasd kybernedcké
bezpečnosd
www.viavis.cz
32 / 14
Režim vyšších povinností
Vrcholové vedení určí:
Složení výboru pro řízení kybernetické bezpečnosti
Bezpečnostní role, jejich práva a povinnosti
Manažera kybernetické bezpečnosti
Architekta kybernetické bezpečnosti
Garanta aktiva
Auditora kybernetické bezpečnosti
www.viavis.cz
33 / 14
Řízení dodavatelů
Pravidla pro dodavatele, která zohledňují požadavky ISMS
Seznámení dodavatelů s pravidly
Další povinnosti:
Identifikace a evidence významných dodavatelů
Prokazatelně písemně informuje své významné dodavatele o jejich evidenci
Řídí rizika spojená s dodavateli
Smlouvy uzavírané s významnými dodavateli musí obsahovat relevantní oblasti
uvedené v příloze č. 7 k vyhlášce
Pravidelně přezkoumává plnění smluv s významnými dodavateli z hlediska ISMS
www.viavis.cz
34 / 14
Řízení dodavatelů
Povinná osoba u významných dodavatelů:
V rámci výběrového řízení a před uzavřením smlouvy provádí hodnocení rizik
Stanoví způsoby a úrovně realizace bezpečnostních opatření a určí obsah vzájemné smluvní
odpovědnosti za zavedení a kontrolu bezpečnostních opatření
Provádí pravidelné hodnocení rizik a pravidelnou kontrolu zavedených
bezpečnostních opatření u poskytovaných plnění pomocí vlastních zdrojů nebo
pomocí třetí strany
V reakci na rizika a zjištěné nedostatky zajistí jejich řešení
Máte představu o konkrétním řešení?
www.viavis.cz
35 / 14
Bezpečnost lidských zdrojů
Stanoví plán rozvoje bezpečnostního povědomí, jehož cílem je zajistit odpovídající vzdělávání
a zlepšování bezpečnostního povědomí včetně formy, obsahu a rozsahu poučení
a školení:
Poučení vrcholového vedení o jeho povinnostech, o bezpečnostní politice
zejména v oblastech systému řízení bezpečnosti informací a řízení rizik
Poučení uživatelů, administrátorů, osob zastávajících bezpečnostní role
a dodavatelů o jejich povinnostech a o bezpečnostní politice
Potřebná teoretická i praktická školení uživatelů, administrátorů a osob
zastávajících bezpečnostní role
Pravidla tvorby bezpečných hesel
Relevantní témata uvedená v příloze č. 8 této vyhlášky
www.viavis.cz
36 / 14
Řízení změn
Povinná osoba v rámci řízení změn u aktiv
Identifikuje změny, které mají nebo mohou mít vliv na kybernetickou
bezpečnost
Stanoví pravidla, postupy a kritéria pro určení významných změn
Dokumentuje řízení významných změn
Provádí hodnocení rizik
Přijímá bezpečnostní opatření za účelem snížení všech nepříznivých dopadů
spojených s významnými změnami
Aktualizuje bezpečnostní a provozní dokumentaci
Zajistí jejich testování před uvedením do provozu
Zajistí možnost navrácení do původního stavu
www.viavis.cz
37 / 14
Akvizice, vývoj údržba
Povinná osoba:
Řídí rizika
Řídí významné změny
Stanoví bezpečnostní požadavky v souladu s touto vyhláškou a vlastními
bezpečnostními potřebami
Zahrne bezpečnostní požadavky do projektu akvizice, vývoje a údržby
Dodržuje a vymáhá dodržování požadavků
Zajistí oddělení provozního, zálohovacího, vývojového, testovacího a jiných
specifických prostředí, a zajistí ochranu informací a dat se v nich vyskytujících
Je-li cílem provedení akvizice nebo vývoje technické aktivum využívající
autentizační mechanizmus, zejména za účelem ověření identity uživatelů nebo
administrátorů
Je-li cílem provedení akvizice nebo vývoje technické aktivum užívající
kryptografické algoritmy, plní požadavky podle § 26 odst. 1 písm. a) a odst. 3 písm.
www.viavis.cz
38 / 14
Řízení přístupu
Povinná osoba na základě bezpečnostních a provozních potřeb řídí přístup
k akYvům a přijímá bezpečnostní opatření, která slouží k zajištění ochrany
přístupových a autenYzačních údajů
Řídí přístup na základě skupin a rolí
Přidělí každému uživateli a administrátorovi přistupujícímu k akYvům
přístupová práva a oprávnění a jedinečný idenYfikátor
Řídí idenYfikátory, přístupová práva a oprávnění účtů technických akYv
Zavádí bezpečnostní opatření pro řízení přístupu technických akYv k jiným
akYvům
Zavádí bezpečnostní opatření potřebná pro bezpečné používání mobilních
zařízení a jiných obdobných technických akYv, popřípadě i bezpečnostní
opatření spojená s využism technických akYv, která povinná osoba nemá ve své
správě
www.viavis.cz
39 / 14
Řízení přístupu
Omezí přidělování administrátorských a privilegovaných oprávnění na úroveň
nezbytně nutnou k výkonu náplně práce
Omezí a kontroluje používání programových prostředků a vybavení, které
mohou být schopné překonat systémové nebo aplikační kontroly
Prosazuje, aby byla při používání privátních autentizačních informací
a mechanismů dodržována stanovená pravidla a postupy
Přiděluje a odebírá přístupová oprávnění v souladu s politikou řízení přístupu
Provádí pravidelné přezkoumání veškerých přístupových oprávnění včetně
rozdělení do skupin a rolí
Zajistí bezodkladné odebrání nebo změnu přístupových oprávnění při změně
pozice nebo zařazení na základě skupin a rolí
www.viavis.cz
40 / 14
Řízení přístupu
Zajistí bezodkladné odebrání nebo změnu přístupových oprávnění při ukončení
nebo změně smluvního vztahu
Dokumentuje přidělování a odebírání přístupových oprávnění
Využívá nástroj pro správu a ověřování identity podle § 20 a nástroj pro řízení
přístupových oprávnění
www.viavis.cz
41 / 14
Zvládání incidentů
Zavede procesy, pravidla a postupy pro detekci, zaznamenávání
a vyhodnocování kybernetických bezpečnostních událostí
Přidělí odpovědnosti pro:
Detekci, zaznamenávání a vyhodnocování kybernetických bezpečnostních
událostí
Koordinaci a zvládání kybernetických bezpečnostních incidentů
Definuje a dodržuje pravidla a postupy pro identifikaci, sběr, získání a uchování
věrohodných podkladů potřebných pro analýzu kybernetického bezpečnostního
incidentu
Zajistí detekci kybernetických bezpečnostních událostí
Zajistí, že uživatelé, administrátoři, osoby zastávající bezpečnostní role, další
zaměstnanci a dodavatelé budou oznamovat neobvyklé chování technických
aktiv a podezření na jakékoliv zranitelnosti
www.viavis.cz
42 / 14
Zvládání incidentů
Zajistí posuzování kybernetických bezpečnostních událostí, při kterém musí být
rozhodnuto, zda mají být klasifikovány jako kybernetické bezpečnostní
incidenty
Zajistí zvládání kybernetických bezpečnostních incidentů podle stanovených
postupů
Přijímá bezpečnostní opatření pro odvrácení a zmírnění dopadu kybernetického
bezpečnostního incidentu
Hlásí kybernetické bezpečnostní incidenty
Vede záznamy o kybernetických bezpečnostních incidentech a o jejich zvládání
Prošetří a určí příčiny kybernetického bezpečnostního incidentu
Vyhodnotí účinnost řešení kybernetického bezpečnostního incidentu a na
základě vyhodnocení stanoví nutná bezpečnostní opatření, popřípadě
aktualizuje stávající bezpečnostní opatření k zamezení opakování řešeného
kybernetického bezpečnostního incidentu.
www.viavis.cz
43 / 14
Řízení konPnuity činnosR
Stanoví metodiku pro provedení analýzy dopadů
Pomocí analýzy dopadů vyhodnotí a dokumentuje možné dopady kybernetických
bezpečnostních incidentů a zohlední hodnocení rizik, v rámci kterého
posoudí možná rizika související s ohrožením kontinuity činností
Na základě výstupů analýzy dopadů a hodnocení rizik stanoví cíle
řízení kontinuity činností:
Minimální úrovně poskytovaných služeb, která je přijatelná pro užívání,
provoz a správu regulované služby
Doby obnovení chodu, během které bude po kybernetickém bezpečnostním
incidentu obnovena minimální úroveň poskytovaných služeb regulované
služby
Bodu obnovení dat jako časové období, za které musí být zpětně obnovena
data po kybernetickém bezpečnostním incidentu nebo po selhání
www.viavis.cz
44 / 14
Řízení kontinuity činností
Stanoví politiku řízení kontinuity činností, která obsahuje naplnění cílů
a stanoví práva a povinnosti administrátorů a osob zastávajících
bezpečnostní role
Vypracuje, aktualizuje a pravidelně testuje plány kontinuity činností a plány obnovy
související s poskytováním regulované služby
Realizuje bezpečnostní opatření pro zvýšení odolnosti
www.viavis.cz
45 / 14
Audit kybernetické bezpečnosti
Plán provádění auditu kyberneYcké bezpečnosY
V rámci auditu kyberneYcké bezpečnosY:
Posuzuje zda byly zavedeny bezpečnostní opatření požadované zákonem
o kybernedcké bezpečnosd a touto vyhláškou
Posuzuje soulad zavedených bezpečnostních opatření s právními předpisy,
vnitřními předpisy, jinými předpisy, smluvními závazky a nejlepší praxí
vztahujícími se k regulované službě
Provádí a dokumentuje audit dodržování pravidel a postupů stanovených
v bezpečnostní polidce, včetně přezkoumání technické shody a dříve
stanovených nápravných opatření
Povinná osoba stanoví případná nápravná opatření
www.viavis.cz
46 / 14
Audit kybernetické bezpečnosti
Plán provádění auditu kybernetické bezpečnosti
Provádění auditu:
Při významných změnách, v rámci jejich rozsahu
V pravidelných intervalech alespoň po 2 letech
V souladu s plánem auditu kybernetické bezpečnosti
Audit kybernetické bezpečnosti musí být prováděn osobou vyhovující podmínkám
stanoveným v § 6 odst. 4
www.viavis.cz
47 / 14
Fyzická bezpečnost
Povinná osoba
Předchází poškození, krádeži nebo zneužití aktiv nebo přerušení poskytování
regulované služby
Stanoví fyzický bezpečnostní perimetr ohraničující oblast, ve které jsou uchovávány
nebo zpracovávány informace a data, nebo ve které jsou umístěna technická aktiva
regulované služby
Dokumentuje jednotlivé fyzické bezpečnostní perimetry podle písmena b)
s ohledem na hodnocení umístěných technických aktiv a rozdělí je na jednotlivé
úrovně fyzické ochrany
www.viavis.cz
48 / 14
Fyzická bezpečnost
U každého fyzického bezpečnostního perimetru stanoveného přijme relevantní bezpečnostní
opatření fyzické ochrany s ohledem na jeho úroveň fyzické ochrany:
K zamezení neoprávněnému vstupu
K zamezení poškození a neoprávněným zásahům
K zajištění fyzické ochrany na úrovni objektů a v rámci objektů
Pro zajištění detekce narušení fyzického bezpečnostního perimetru
Eviduje vstupy a přístupy do fyzického bezpečnostního perimetru
www.viavis.cz
49 / 14
Bezpečnost komunikačních sítí
Povinná osoba pro ochranu bezpečnosti komunikační sítě, a to včetně jejího síťového perimetru:
Zajistí segmentaci komunikační sítě, včetně oddělení provozního, zálohovacího,
vývojového, testovacího a jiného specifického prostředí
Zajistí řízení komunikace v rámci komunikační sítě
Zajistí řízení vzdáleného přístupu ke komunikační síti
Zajistí řízení vzdálené správy technických aktiv
V rámci řízení komunikace, vzdáleného přístupu a vzdálené správy povoluje pouze
takovou komunikaci, která je nezbytná pro řádné zajištění regulované služby
Pomocí kryptografických algoritmů zajistí důvěrnost a integritu při přenosu informací a dat v rámci
komunikační sítě
Využívá nástroj, který zajistí ochranu integrity komunikační sítě
www.viavis.cz
50 / 14
Správa a ověřování idenPt
Povinná osoba používá nástroj pro správu a ověření identity administrátorů, uživatelů a
technických aktiv regulované služby
Nástroj pro správu a ověření identity administrátorů, uživatelů a technických aktiv
zajišťuje:
Ověření identity před zahájením jejich aktivit
Řízení počtu možných neúspěšných pokusů o přihlášení
Odolnost uložených a přenášených autentizačních údajů vůči hrozbám
a zranitelnostem, které by mohly narušit jejich důvěrnost nebo integritu
Opětovné ověření identity po stanovené době nečinnosti
Dodržení důvěrnosti při vytváření výchozích autentizačních údajů při obnově
přístupu
Centralizovanou správu identit
www.viavis.cz
51 / 14
Správa a ověřování identit
Povinná osoba pro ověření identity administrátorů, uživatelů a technických aktiv
využívá autentizační mechanizmus, který je založený na vícefaktorové autentizaci
s nejméně dvěma různými typy faktorů
Povinná osoba do doby splnění požadavků pro ověření identity administrátorů,
uživatelů nebo technických aktiv podle odstavce 3 vede evidenci technických aktiv,
účtů a autentizačních mechanismů, které tyto požadavky nesplňují, a to včetně
odůvodnění
Povinná osoba do doby splnění požadavku pro ověření identity administrátorů,
uživatelů nebo technických aktiv využívající autentizační mechanismus založený
na vícefaktorové autentizaci s nejméně dvěma různými typy faktorů využívá autentizaci pomocí
kryptografických klíčů nebo certifikátů
www.viavis.cz
52 / 14
Správa a ověřování identit
Povinná osoba do doby splnění požadavku pro ověření idenYty administrátorů,
uživatelů a technických akYv využívající autenYzační mechanismus založený na
autenYzaci pomocí kryptografických klíčů nebo cerYfikátů,
využívá nástroj pro autenYzaci pomocí idenYfikátoru účtu a hesla a tento nástroj
musí vynucovat následující pravidla:
Délky hesla alespoň
12 znaků pro účty uživatelů
17 znaků pro účty administrátorů
22 znaků pro účty technických akdv
Umožňující zadat heslo o délce alespoň 64 znakůP
Po ověření idendty technických akdv musí být výchozí heslo bezodkladně změněno a nové heslo
musí být vytvořeno náhodným řetězcem složeným z malých a velkých písmen, číslic a speciálních
znaků
www.viavis.cz
53 / 14
Správa a ověřování identit
Neomezující použití malých a velkých písmen, číslic a speciálních znaků
Umožňující uživatelům a administrátorům změnu hesla, přičemž období mezi dvěma změnami
hesla nesmí být kratší než 30 minut
Povinné změny hesla v intervalu maximálně po 18 měsících
Neumožňující uživatelům a administrátorům:
1. zvolit si hesla ze slovníku nejčastěji používaných hesel,
2. tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího
jména, e-mailu, názvu systému nebo obdobným způsobem a
3. opětovné použití dříve používaných hesel s pamětí alespoň 12 předchozích
hesel
www.viavis.cz
54 / 14
Správa a ověřování identit
Povinná osoba vytváří náhodné výchozí heslo nebo identifikátor sloužící
k vytvoření nebo pro obnovení přístupu
Povinná osoba bezodkladně zneplatní heslo nebo identifikátor sloužící k vytvoření
nebo pro obnovení přístupu po jeho prvním použití nebo uplynutím nejvýše
24 hodin od jeho vytvoření
Povinná osoba u administrátorského účtu určeného zejména pro případ obnovy po
kybernetickém bezpečnostním incidentu, musí vynucovat následující pravidla
Bezodkladně vynutí změnu výchozí hesla
Heslo musí být vytvořeno náhodným řetězcem složeným z malých a velkých
písmen, číslic a speciálních znaků
Délka hesla musí být alespoň 22 znaků,
Heslo musí být uloženo na bezpečném místě
www.viavis.cz
55 / 14
Správa a ověřování identit
S účtem a jeho heslem mohou manipulovat pouze pověřené osoby a to
v nezbytně nutných případech
Musí být vynucena změna hesla po jeho použití nebo v intervalu maximálně po
18 měsících
Eviduje manipulaci a pokusy o manipulaci s tímto účtem a jeho heslem.
www.viavis.cz
56 / 14
Řízení přístupových oprávnění
Povinná osoba pro řízení přístupových oprávnění
Využívá centralizovaný nástroj s ohledem na vazby mezi aktivy
Řídí oprávnění pro přístup k jednotlivým aktivům
Řídí oprávnění pro čtení dat, zápis dat a změnu oprávnění
www.viavis.cz
57 / 14
Detekce kybernePckých a bezpečnostních událosR
Povinná osoba používá nástroj pro detekci kybernetických bezpečnostních událostí,
který v rámci komunikační sítě zajišťuje:
Ověření a kontrolu přenášených dat v rámci komunikační sítě a mezi
komunikačními sítěmi
Ověření a kontrolu přenášených dat na síťovém perimetru komunikační sítě
Blokování nežádoucí komunikace
Povinná osoba používá centrálně spravovaný nástroj s ohledem na vazby mezi
aktivy pro detekci kybernetických bezpečnostních událostí, který u jednotlivých
relevantních technických aktiv zajišťuje:
Nepřetržitou a automatickou ochranu před škodlivým kódem
Řízení a sledování používání vyměnitelných zařízení a datových nosičů
Řízení automatického spouštění obsahu vyměnitelných zařízení a datových
nosičů
www.viavis.cz
58 / 14
Detekce kybernetických a bezpečnostních událostí
Řízení oprávnění ke spouštění kódu
Řízení a sledování komunikace aplikací, jejich služeb a procesů
Detekci na základě chování technického aktiva, uživatelů a aplikací
Povinná osoba provádí pravidelnou a bezodkladnou aktualizaci nástroje
používaného podle odstavce 1 a 2, a to včetně jeho nastavení a detekčních pravidel.
www.viavis.cz
59 / 14
Zaznamenávání událostí
Povinná osoba na základě hodnocení akYv a bezpečnostních potřeb určí technická
akYva, u kterých je zaznamenávání bezpečnostních a relevantních provozních
událoss prováděno
Povinná osoba v souladu s odstavcem 1 zaznamenává bezpečnostní a relevantní
provozní událosY
Detekované podle § 22
V rámci komunikační sítě
Na síťovém perimetru
Technických akdv
Povinná osoba aktualizuje rozsah technických akYv v pravidelných intervalech a při významných
změnách
Povinná osoba zajišťuje nepřetržitou synchronizaci jednotného času technických
akYv
www.viavis.cz
60 / 14
Zaznamenávání událostí
Povinná osoba v rámci zaznamenávání událostí zaznamenává zejména následující informace o
události:
Datum a čas včetně specifikace časového pásma
Typ činnosti
Jednoznačnou identifikaci technického aktiva, které činnost zaznamenalo
Jednoznačnou identifikaci účtu, pod kterým byla činnost provedena
Jednoznačnou identifikaci zařízení původce
Úspěšnost nebo neúspěšnost činnosti
Povinná osoba v rámci zajištění důvěrnosti a integrity informací získaných
zajistí jejich ochranu před neoprávněným čtením a jakoukoliv změnou
www.viavis.cz
61 / 14
Zaznamenávání událostí
Povinná osoba v rámci zaznamenávání událostí zaznamenává
Přihlašování a odhlašování ke všem účtům, a to včetně neúspěšných pokusů
Provedení a neúspěšný pokus o provedení privilegované činnosti
Manipulace a neúspěšný pokus o manipulaci s účty, oprávněními a právy
Neprovedení činností v důsledku nedostatku přístupových práv nebo oprávnění
Zahájení a ukončení činností technických aktiv
Kritických a chybových hlášení technických aktiv
Přístup a neúspěšný pokus o přístup k záznamům událostí
Manipulaci a neúspěšný pokus o manipulaci se záznamy událostí
Změnu a neúspěšný pokus o změnu nastavení nástrojů pro zaznamenávání
událostí
Další činností uživatelů, které mohou mít vliv na bezpečnost regulované služby.
Povinná osoba používá centrální nástroj s ohledem na vazby mezi aktivy pro sběr a
uchovávání záznamů událostí zaznamenaných podle odstavce 2 (18 měsíců)
www.viavis.cz
62 / 14
Vyhodnocování kybernetických bezpečnostních událostí
Povinná osoba používá nástroj pro nepřetržité vyhodnocování kybernetických bezpečnostních
událostí detekovaných podle § 22 pro:
Sběr, vyhledávání a seskupování souvisejících záznamů za účelem detekce
kybernetických bezpečnostních událostí
Nepřetržité poskytování informací o detekovaných kybernetických
bezpečnostních událostech, včasné varování určených bezpečnostních rolí
Vyhodnocování kybernetických bezpečnostních událostí s cílem identifikace
kybernetických bezpečnostních incidentů
www.viavis.cz
63 / 14
Vyhodnocování kybernetických bezpečnostních událostí
Povinná osoba v rámci používání nástroje v souladu s odstavcem 1 zajistí:
Omezení případů nesprávného či nežádoucího vyhodnocování kybernetických
bezpečnostních událostí
Pravidelnou aktualizaci nastavení nástroje včetně jeho pravidel pro detekci
a vyhodnocování kybernetických bezpečnostních událostí
Pravidelnou aktualizaci pravidel pro nepřetržité poskytování informací
o detekovaných kybernetických bezpečnostních událostech včetně včasného
varování určených bezpečnostních rolí
Povinná osoba využívá informací získaných nástrojem pro vyhodnocení
kybernetických bezpečnostních událostí pro optimální nastavení systému řízení
bezpečnosti informací regulované služby a zavádění bezpečnostních opatření.
www.viavis.cz
64 / 14
Aplikační bezpečnost
Povinná osoba pro zajištění bezpečnosti regulované služby užívá technická aktiva,
která jsou výrobcem, dodavatelem nebo jinou osobou podporována a zajistí
bezodkladné aplikování bezpečnostních aktualizací vydaných pro tato aktiva
Povinná osoba do doby plnění odstavce 1 eviduje technická aktiva, která již nejsou
výrobcem, dodavatelem nebo jinou osobou podporována a zavede bezpečnostní
opatření, která zaručí obdobnou nebo vyšší úroveň bezpečnosti těchto technických
aktiv
Povinná osoba dále v rámci aplikační bezpečnosti zajistí trvalou ochranu aplikací,
informací, transakcí a přenášených identifikátorů relací před:
Neoprávněnou činností
Popřením provedených činností
www.viavis.cz
65 / 14
Aplikační bezpečnost
Povinná osoba provádí pravidelné skenování zranitelnosti technických aktiv regulované služby
Z interní a externí komunikační sítě
Alespoň jednou ročně.
Povinná osoba zohlední výsledky skenů zranitelnosti v rámci řízení rizik podle § 9
a zavádí bezpečnostní opatření na základě zjištěných výsledků
Povinná osoba provádí penetrační testování technických aktiv s ohledem
na hodnocení těchto aktiv a hodnocení rizik:
Z interní a externí komunikační sítě
Před jejich uvedením do provozu
V souvislosti s významnou změnou podle § 12 odst. 3
www.viavis.cz
66 / 14
Aplikační bezpečnost
Povinná osoba zohlední výsledky penetračního testování v rámci řízení rizik podle
§ 9 a zavádí bezpečnostní opatření na základě zjištěných výsledků
Povinná osoba provede opětovné otestování (retest) nálezu zjištěného na základě
provedeného skenování zranitelnosY nebo penetračního testování za účelem
ověření funkčnosY zavedených bezpečnostních opatření
Povinná osoba v souladu s odstavcem 6 písm. a) provádí pravidelně penetrační
testování a to alespoň jednou za dva roky
Povinná osoba v odůvodněných případech, pokud nemůže provést penetrační
testování v rozsahu nebo intervalu stanoveném v odstavci 9, může rozdělit toto
penetrační testování do systemaYckých celků. V takovém případě je nutno provést
penetrační testování v rozsahu stanoveném v odstavci 6 nejpozději do 5 let.
www.viavis.cz
67 / 14
Kryptografické algoritmy
Povinná osoba pro zajištění ochrany technických aktiv a jejich komunikace:
Používá aktuálně odolné kryptografické algoritmy
Prosazuje bezpečné nakládání s kryptografickými algoritmy
Zohledňuje doporučení a metodiky v oblasti kryptografických algoritmů vydané Úřadem,
zveřejněné na jeho internetových stránkách
Povinná osoba v souladu s odstavcem 1 zajišťuje bezpečnou:
Hlasovou, audiovizuální a textovou komunikaci, a to včetně e-mailové
komunikace
Nouzovou komunikaci v rámci organizace
www.viavis.cz
68 / 14
Kryptografické algoritmy
Povinná osoba v případě využívání kryptografických klíčů a certifikátů pro ochranu technických
aktiv a komunikační sítě používá:
Pouze aktuálně odolné kryptografických klíče a certifikáty
Systém správy klíčů a certifikátů, který
1. zajistí generování, distribuci, ukládání, změny, omezení platnosti
zneplatnění certifikátů a řádnou likvidaci kryptografických klíčů
2. umožní kontrolu a audit
3. zajistí důvěrnost a integritu kryptografických klíčů
www.viavis.cz
69 / 14
Dostupnost regulované služby
Povinná osoba zavede bezpečnostní opatření pro zajišťování dostupnosti regulované služby,
kterými zajistí:
Dostupnost regulované služby podle cílů stanovených dle § 16
Odolnost regulované služby vůči hrozbám a zranitelnostem, které by mohly
snížit její dostupnost
Redundanci aktiv nezbytných pro zajištění dostupnosti regulované služby
Povinná osoba pro zajištění dostupnosti regulované služby v souladu s odstavcem
1 vytváří pravidelné zálohy nastavení technických aktiv, informací a dat
nezbytných zejména pro účely obnovy regulované služby pro případ
kybernetického bezpečnostního incidentu
www.viavis.cz
70 / 14
Dostupnost regulované služby
Povinná osoba u záloh vytvářených podle odstavce 2 zajistí:
Pravidelné testování jejich integrity, dostupnosti a obnovitelnosti
Dokumentování výsledků testů provedených podle odstavce 3 písm. a)
Ochranu ukládaných záloh a dat v nich obsažených před narušením jejich
integrity a důvěrnosti, a to zejména šifrováním těchto záloh v souladu s § 26
Ochranu ukládaných záloh a dat v nich obsažených před narušením jejich
dostupnosti
Povinná osoba za účelem omezení šíření kybernetického bezpečnostního incidentu
a snížení jeho dopadu odděluje zálohovací prostředí od jiných prostředí podle § 19
písm. a)
www.viavis.cz
71 / 14
Zabezpečení průmyslových akPv
Povinná pro zajištění kybernetické bezpečnosti průmyslových, řídicích a obdobných
specifických technických aktiv dále využívá nástroje a zavádí bezpečnostní opatření, která
zajistí:
Omezení fyzického přístupu k průmyslovým, řídicím a obdobným specifickým
technickým aktivům
Omezení oprávnění k přístupu k průmyslovým, řídicím a obdobným specifickým
technickým aktivům
Segmentaci komunikačních sítí průmyslových, řídicích a obdobných specifických
technických aktiv od jiných prostředí a segmentaci těchto komunikačních sítí podle
§ 19
Omezení vzdálených přístupů a vzdálené správy průmyslových, řídicích
a obdobných specifických technických aktiv
Ochranu jednotlivých průmyslových, řídicích a obdobných specifických
technických aktiv před využitím známých hrozeb a zranitelností
Obnovu dostupnosti průmyslových, řídicích a obdobných specifických technických
aktiv
www.viavis.cz
72 / 14
Lokalizace dat při zpracování v zahraničí
Povinná osoba posoudí možný dopad kybernetického bezpečnostního incidentu na
informace a data zpracovávaná v rámci stanového rozsahu a o tomto posouzení
vyhotoví písemný záznam
Povinná osoba v rámci stanoveného rozsahu zajistí, že na území České republiky
jsou zpracovávány veškeré informace a data, u nichž kybernetický bezpečnostní
incident může:
Vést ke zranění skupiny více než 2 500 lidí nebo přímému ohrožení nebo ztrátě
života skupiny více než 250 lidí
Vést k omezení nebo narušení zpracování osobních údajů, které je nezbytné pro
zajišťování obranných a bezpečnostních zájmů České republiky
Vést k závažnému a dlouhodobému narušení schopnosti vyšetřovat trestnou
činnost nebo zpochybnění soudního řízení v rámci orgánů činných v trestním
řízení
Negativně ovlivnit nebo poškodit diplomatické vztahy České republiky
www.viavis.cz
73 / 14
Lokalizace dat při zpracování v zahraničí
Vést k finančním ztrátám přesahujícím 10 % běžných výdajů ročního rozpočtu
povinné osoby a tyto ztráty odpovídají částce 10 000 000 Kč a vyšší, nebo může
způsobit hospodářské ztráty státu vyšší než 0,5 % hrubého domácího produktu,
nebo
Způsobit dotčení prvku kridcké infrastruktury provozovaného povinnou osobou
a může:
1. zapříčinit hromadné nepokoje nebo jinak závažně narušit veřejný pořádek s
celostátními dopady,
2. narušit řádné fungování čásd nebo celé povinné osoby, přičemž může
závažně omezit nebo zastavit provádění důležitých činnosN povinné osoby
a narušit řízení, poškodit rozvoj nebo poškodit prosazování cílů a zájmů
povinné osoby,
3. negadvně ovlivnit vztahy s jinými organizacemi nebo vztahy s veřejnosN a
negadvní následky mohou být dlouhodobě mezinárodní, nebo
4. dojít k rozsáhlému omezení poskytování nezbytných služeb nebo jinému
závažnému zásahu do každodenního života posdhujícího více než 125 000
osob.
www.viavis.cz
74 / 14
Lokalizace dat při zpracování v zahraničí
Povinnost stanovená v odst. 1 se nevztahuje na uchovávání zašifrovaných informací
a dat na území členských států Evropské unie, Evropského sdružení volného
obchodu, Organizace Severoatlantické smlouvy, Organizace pro ekonomickou
spolupráci a rozvoj v případě, že tyto informace a data byly zašifrovány v souladu
s § 26 této vyhlášky povinnou osobou
Povinná osoba v rámci stanoveného rozsahu zajistí, že na území členských států
Evropské unie, Evropského sdružení volného obchodu, Organizace Severoatlantické smlouvy
nebo Organizace pro ekonomickou spolupráci a rozvoj jsou zpracovávány veškeré informace a
data u nichž kybernetický bezpečnostní incident může:
Vést ke zranění skupiny více než 100 lidí a nejvíce 2 500 lidí nebo přímému
ohrožení nebo ztrátě života jednotlivce nebo skupiny nejvíce 250 lidí
Vést k narušení vyšetřování trestné činnosti nebo soudního řízení v rámci orgánů
činných v trestním řízení
Zapříčinit hromadné nepokoje nebo jinak závažně narušit veřejný pořádek
s regionálními dopady
www.viavis.cz
75 / 14
Lokalizace dat při zpracování v zahraničí
Negativně ovlivnit obraz České republiky ve světě
Narušit řádné fungování části nebo celé povinné osoby, přičemž může závažně
omezit nebo zastavit provádění důležitých činností povinné osoby a narušit
řízení, poškodit rozvoj nebo poškodit prosazování cílů a zájmů povinné osoby
Negativně ovlivnit vztahy s jinými částmi povinné osoby, jinými organizacemi
nebo vztahy s veřejností, avšak negativní následky mohou být nejvýše celostátní
nebo krátkodobě mezinárodní
Vést k finančním ztrátám ve výši přesahující 5 % a maximálně 10 % běžných
výdajů ročního rozpočtu povinné osoby a tyto ztráty odpovídají částce 1 000
000 Kč a vyšší, nebo může způsobit hospodářské ztráty státu ve výši mezi 0,1
% a 0,5 % hrubého domácího produktu
Způsobit omezení, narušení nebo nedostupnost služeb pro více než 50 000 osob
www.viavis.cz
76 / 14
Lokalizace dat při zpracování v zahraničí
Negativně ovlivnit regulovanou službu, která naplňuje dvě a více z níže
uvedených kritérií:
1. v rámci regulované služby se zpracovávají zvláštní kategorie osobních
údajů nebo údaje vysoce osobní povahy, zejména finanční údaje o stavu
majetku, výši finančních prostředků, dluzích nebo půjčkách nebo platební
morálce, záznamy o historii soukromých volání subjektů údajů, údaje
z \elektronické pošty subjektů údajů a podobně
2. v rámci regulované služby dochází ke zpracování osobních údajů, kterým je
dotčeno nebo lze důvodně předpokládat, že bude dotčeno více než 10 000
subjektů údajů
3. v rámci regulované služby dochází k automatizovanému rozhodování, které
se dotýká subjektu údajů.
www.viavis.cz
77 / 14
Deprese?
Váš názor na regulaci?
www.viavis.cz
78 / 14
Režim nižších povinnosR – bezpečnostní opatření
Zajišťování minimální úrovně kybernetické bezpečnosti:
Stanoví strategické cíle zajišťování minimální úrovně kybernetické bezpečnosti
Na základě strategických cílů zajišťování minimální úrovně kybernetické
bezpečnosti a bezpečnostních potřeb zavede bezpečnostní opatření směřující
k zajištění bezpečnosti regulované služby
Vytvoří a schválí bezpečnostní politiku v oblasti zajišťování minimální úrovně
kybernetické bezpečnosti, která obsahuje hlavní zásady, strategické cíle,
bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení kybernetické
bezpečnosti, a na základě bezpečnostních potřeb stanoví bezpečnostní politiku
a bezpečnostní dokumentaci v dalších oblastech
.
www.viavis.cz
79 / 14
Režim nižších povinností – bezpečnostní opatření
Zajistí pravidelné vyhodnocení účinnosti zajišťování minimální úrovně
kybernetické bezpečnosti, které obsahuje:
Vyhodnocení strategických cílů zajišťování minimální úrovně kybernetické
bezpečnosti stanovených podle písmena a)
Posouzení naplňování plánu zavádění bezpečnostních opatření
zpracovaného podle odstavce 2 písm. a)
Posouzení výsledků kontrol provedených v oblasti kybernetické
bezpečnosti
Výsledky předchozích vyhodnocení účinnosti zajišťování minimální úrovně
kybernetické bezpečnosti provedených podle písmene d)
Posouzení dopadů kybernetických bezpečnostních incidentů s významným
dopadem na poskytované služby podle § 13
Posouzení změn, které mohou mít negativní dopad na zajišťování minimální
úrovně kybernetické bezpečnosti podle § 11
www.viavis.cz
80 / 14
Režim nižších povinností – bezpečnostní opatření
Na základě vyhodnocení účinnosY zajišťování minimální úrovně kyberneYcké
bezpečnosY podle písmene d) zpracuje zprávu o přezkoumání zajišťování
minimální úrovně kyberneYcké bezpečnosY
Aktualizuje zajišťování minimální úrovně kyberneYcké bezpečnosY a příslušnou
dokumentaci na základě:
Zjištění z kontrol provedených v oblasY kyberneYcké bezpečnosY
Výsledků vyhodnocení účinnosY zajišťování minimální úrovně
kyberneYcké bezpečnosY
Dopadů kyberneYckých bezpečnostních incidentů s významným dopadem
na poskytované služby
www.viavis.cz
81 / 14
Režim nižších povinností – bezpečnostní opatření
Zpracuje přehled bezpečnostních opatření, který obsahuje přehled všech
bezpečnostních opatření požadovaných touto vyhláškou, která:
Nebyla aplikována, včetně odůvodnění a přehledu přijatých náhradních
bezpečnostních opatření
Byla aplikována, včetně způsobu plnění.
Povinná osoba v souladu se strategickými cíli zajišťování minimální úrovně
kybernetické bezpečnosti stanovenými podle odstavce 1 písm. a) a s plánem
zavádění bezpečnostních opatření zavádí bezpečnostní opatření.
www.viavis.cz
82 / 14
Režim nižších povinností – bezpečnostní opatření
Povinnosti vrcholového vedení:
Vrcholové vedení povinné osoby s ohledem na zajišťování minimální úrovně
kybernetické bezpečnosti:
Se prokazatelně účastní školení podle § 10 odst. 2 písm. a)
Zajistí stanovení bezpečnostní politiky a strategických cílů zajišťování
minimální úrovně kybernetické bezpečnosti
Zajistí dostupnost zdrojů potřebných pro zajišťování minimální úrovně
kybernetické bezpečnosti v souladu s plánem zavádění bezpečnostních
opatření
Informuje zaměstnance o významu zajišťování minimální úrovně kybernetické
bezpečnosti a významu dosažení shody s jeho požadavky se všemi dotčenými
stranami
Zajistí podporu k dosažení zamýšlených strategických cílů
Se podílí na vypracování analýzy dopadů podle § 14,
.
www.viavis.cz
83 / 14
Režim nižších povinností – bezpečnostní opatření
Prosazuje neustálé zlepšování zajišťování minimální úrovně kybernetické
bezpečnosti
Určí osoby zastávající bezpečnostní role a stanoví příslušné pravomoci
Podporuje bezpečnostní role v oblastech její odpovědnosti
Přijímá bezpečnostní opatření vedoucí:
Ke kontinuálnímu zlepšování zajišťování minimální úrovně kybernetické
bezpečnosti a
K dosažení stanovených strategických cílů v oblasti kybernetické
bezpečnosti
Vrcholové vedení se prokazatelně seznamuje
Se zprávou o přezkoumání zajišťování minimální úrovně kybernetické
bezpečnosti
S výsledky analýzy dopadů v souladu s § 14
S výsledky kontrol provedených v oblasti kybernetické bezpečnosti
www.viavis.cz
84 / 14
Režim nižších povinností – bezpečnostní opatření
Vrcholové vedení v rámci zajišťování minimální úrovně kybernetické bezpečnosti
určí osobu, která bude zastávat bezpečnostní roli:
Odpovědnou za kybernetickou bezpečnost včetně stanovení jejích povinností,
odpovědností a pravomocí
Garanta aktiva
Vrcholové vedení zajistí zastupitelnost osoby odpovědné za kybernetickou
bezpečnost
www.viavis.cz
85 / 14
Režim nižších povinnosR – bezpečnostní opatření
Řízení bezpečnostní politiky a bezpečnostní dokumentace:
Povinná osoba v rámci řízení bezpečnostní politiky a bezpečnostní dokumentace:
Stanoví bezpečnostní politiku a vede bezpečnostní dokumentaci zahrnující
oblasti uvedené v příloze č. 3 k této vyhlášce
V provozní dokumentaci stanoví pravidla a postupy, které zohledňují relevantní
oblasti z bezpečnostní politiky a bezpečnostní dokumentace
Povinná osoba dodržuje pravidla a postupy stanovené podle odstavce 1
Povinná osoba pravidelně přezkoumává bezpečnostní politiku a bezpečnostní
dokumentaci, zajistí jejich aktuálnost a zohlednění jejich relevantních oblastí
v provozní dokumentaci
Povinná osoba určí osobu odpovědnou za pravidelný přezkum a aktualizaci
bezpečnostní politiky a bezpečnostní dokumentace a zohlednění jejich relevantních
oblastí v provozní dokumentaci podle odstavce 3
www.viavis.cz
86 / 14
Režim nižších povinností – bezpečnostní opatření
Bezpečnostní politika a bezpečnostní dokumentace musí být řízeny tak, aby byly
Dostupné v elektronické nebo listinné podobě
Komunikovány v rámci povinné osoby
Přiměřeně dostupné dotčeným stranám
Chráněny z pohledu důvěrnosti, integrity a dostupnosti
Vedeny tak, aby informace v nich obsažené byly úplné, čitelné, správné, snadno
identifikovatelné a vyhledatelné
www.viavis.cz
87 / 14
Režim nižších povinností – bezpečnostní opatření
Řízení akYv
Povinná osoba v souladu s provedenou idenYfikací a evidencí akYv:
Stanoví metodiku pro idenYfikaci a hodnocení akYv alespoň v rozsahu uvedeném v
příloze č. 1 k této vyhlášce, včetně stanovení úrovní akYv
Určí a eviduje garanty akYv
Hodnod primární akYva z hlediska důvěrnosY, integrity a dostupnosY a zařadí je do
jednotlivých úrovní podle písmene a)
V rámci hodnocení primárních akYv posuzuje relevantní oblasY uvedené v příloze
č. 1 k této vyhlášce
IdenYfikuje a eviduje relevantní vazby mezi akYvy
Hodnod podpůrná akYva a zohledňuje přitom zejména vazby na primární akYva,
www.viavis.cz
88 / 14
Režim nižších povinností – bezpečnostní opatření
Pro jednotlivé úrovně primárních aktiv podle písmene a) stanovuje a zavádí pravidla
ochrany nutná pro zabezpečení jejich důvěrnosti, dostupnosti a integrity, které
obsahují zejména přípustné způsoby používání aktiv:
Pravidla pro manipulaci s aktivy
Pravidla pro klasifikaci informací
Pravidla pro označování aktiv
Pravidla správy výměnných médií
Pravidla pro bezpečné elektronické sdílení a fyzické přenášení aktiv
Pravidla pro určení způsobu likvidace informací a dat a jejich kopií
a likvidace technických aktiv, která jsou nosiči informací a dat s ohledem
na úroveň aktiv v souladu s přílohou č. 2 k této vyhlášce.
www.viavis.cz
89 / 14
Režim nižších povinností – bezpečnostní opatření
Řízení dodavatelů
Povinná osoba při uzavírání smlouvy s dodavateli související se správou nebo
dodávkou technických aktiv, která jsou podle hodnocení těchto aktiv významná pro
regulovanou službu:
Stanoví přiměřená pravidla zohledňující požadavky zajišťování minimální
úrovně kybernetické bezpečnosti pro tyto dodavatele na základě zjištěných
bezpečnostních potřeb a pravidelně tato pravidla aktualizuje
Seznamuje tyto dodavatele s pravidly podle písmene a) a vyžaduje plnění těchto
pravidel
Identifikuje a eviduje tyto dodavatele
www.viavis.cz
90 / 14
Režim nižších povinností – bezpečnostní opatření
Zajistí, aby smlouvy s těmito dodavateli obsahovaly zejména relevantní oblasti
uvedené v příloze č. 4 k této vyhlášce
Povinná osoba u dodavatelů podle odstavce 1
Provádí pravidelné vyhodnocení a pravidelnou kontrolu zavedených
bezpečnostních opatření u poskytovaných plnění pomocí vlastních zdrojů nebo
pomocí třetí strany
Zajistí řešení nedostatků zjištěných podle písmene a).
www.viavis.cz
91 / 14
Pojďme si to zkusit
Soukromá s.r.o.
Městský úřad
Vysoká škola
Navrhněte projekt NIS2 Compliance
Jak budete postupovat?
www.viavis.cz
92
Prostor pro vaše dotazy
www.viavis.cz
93
Prostor pro vaše dotazy…
Děkuji za pozornost
Za tým VIAVIS a.s.
§ Vladimír Lazecký