V tomto díle newsletteru se dočtete:

• Že některé organizace v odvětví "digitální infrastruktura a služby" zavádí bezpečnostní opatření podle speciálního nařízení EU, nikoliv podle požadavků pro vyšší nebo nižší režim regulace.

• Jaké jsou povinnosti pro poskytovatele regulovaných služeb z odvětví digitální infrastruktura a služby.

• V jakých případech firmy regulované kybernetickým zákonem musí plnit 2 rozdílné typy požadavků NAJEDNOU u rozdílných typů regulovaných služeb a co s tím prakticky.

• V závěru najdete malý dárek - slevu do nZKB akademie 2025, záznam z webináře, pozvánku na Guardians.cz webinář na míru a pozvánku na #CyberPivo v Brně.

Úvod - Akt pro digitály

V říjnu nám EU při příležitosti měsíce kybernetické bezpečnosti nadělila dárek v podobě prováděcího nařízení Komise (EU) 2024/2690 ze dne 17. října 2024 (zjednodušeně tomu tady budeme říkat “Akt pro digitály”).

• Detail k aktu pro digitály si můžete prostudovat na oficiálním webu EU.

• Zároveň je možné nahlédnout i do připomínek, které předcházely finální verzi.

• Postoj NÚKIB k Aktu pro digitály pak najdete na Portálu NÚKIB.

Akt pro digitály je prováděcí nařízení k NIS2.

Nařízení = žádný stupeň volnosti ve členských státech. Platí tak, jak je v něm uvedeno v rámci celé unie, jednotně.

Co nám Akt pro digitály přináší?

Akt pro digitály stanovuje technické a metodické požadavky na bezpečnostní opatření pro některé poskytovatele digitálních služeb, kterými jsou:

• provozovatelé DNS,

• registry domén nejvyšší úrovně,

• poskytovatelé služeb cloud computingu,

• poskytovatelé služeb datových center,

• poskytovatelé sítí pro doručování obsahu,

• poskytovatelé řízených služeb (MSP),

• poskytovatelé řízených bezpečnostních služeb (MSSP),

• poskytovatelé on-line tržišť,

• poskytovatelé internetových vyhledávačů a služeb platforem sociálních sítí,

• poskytovatelé služeb vytvářejících důvěru.

Dále upřesňuje případy, v nichž se kybernetický bezpečnostní incident považuje za významný.

Přehledová tabulka k regulaci KB digitálních služeb

Níže je zobrazená přehledová tabulka ilustrující relevantní dopad nZKB / NIS2 na jednotlivé digitální služby. V tabulce je znázorněno, na které ze služeb se uplatní národní specifika (nižší/vyšší režim regulace) a na které naopak dopadne Akt pro digitály.

Vyšší režim regulace, nižší režim regulace, nebo?

💡 V souvislosti s výše uvedenou tabulkou už víme, že v odvětví digitální infrastruktura a služby se u regulovaných služeb neuplatní pouze vyšší a nižší režim regulace z hlediska povinností na bezpečnostní opatření. V některých případech se uplatní jen Akt pro digitály.

🇨🇿 🇪🇺 Dvojí bezpečnostní požadavky

V jakých případech firmy regulované kybernetickým zákonem musí plnit dvojí typy rozdílných požadavků NAJEDNOU pro rozdílné typy regulovaných služeb a co s tím prakticky?

K ilustraci situace, na kterou chci upozornit, si vytvoříme novou variantu naší tabulky. Vidíme na ni příklad holdingu, který poskytuje regulovanou službu v oblasti energetiky (Obchod s elektřinou). Dále jsou v rámci holdingu centrálně poskytovány řízené služby (správa ICT). Na příkladu tedy vidíme dvě regulované služby a zároveň dva typy povinností ohledně bezpečnostních opatření - jednou podle vyhlášky pro vyšší režim regulace, podruhé podle Aktu pro digitály.

Co s tím? Většinou je nad situací uvažováno tak, že řešením by mohlo být, když se v holdingu zřídí dceřinná organizace, ta bude poskytovat 1 regulovanou službu (MSP) a řídit se aktem pro digitály. Mateřská organizace zůstane u poskytování obchodu s elektřinou a bude se řídit vyhláškou pro vyšší režim. Jenže to má háček - u tohoto nápadu se zapomíná na to, proč taková kompetenční centra v rámci holdingů vznikají - aby centralizovaly přístupy řízení ICT v rámci holdingu. Prakticky tak není úplně vhodné zvolit tento rozdílný přístup (jiný framework u kompetenčního centra - MSP, jiný u mateřské organizace) a potřebujeme zvolit spíše jednotný rámec. Tím se vracím k jednomu z předešlých dílů newsletteru o compliance mapování. Abychom mohli zvolit jednotný přístup v oblasti nZKB / NIS2 regulace, compliance mapováním to začíná.

❓ Týká se vás tento dvojí přístup?

❓Máte namapovány požadavky nZKB pro vyšší režim vs. Akt pro digitály?

⁉️ Tak do toho a ušetřete nemalé zdroje!

Povinnosti pro odvětví digitální infrastruktura a služby

Jaké jsou obecně povinnosti pro vybrané poskytovatele regulovaných služeb z odvětví digitální infrastruktura a služby podle Aktu pro digitály? Rámcově se dají shrnout do oblastí níže:

1. Provádění a uplatňování technických a metodických požadavků opatření k řízení kybernetických bezpečnostních rizik. Tato opatření jsou rozdělena do následujících kategorií:

   1. Politika bezpečnosti sítí a informačních systémů

   2. Politika řízení rizik

   3. Řešení incidentů

   4. Kontinuita podnikání a krizové řízení

   5. Bezpečnost dodavatelského řetězce

   6. Zabezpečení pořizování, vývoje a údržby sítí a informačních systémů

   7. Politiky a postupy za účelem posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik

   8. Základní postupy v oblasti kybernetické hygieny a bezpečnostní školení

   9. Kryptografie

   10. Bezpečnost lidských zdrojů

   11. Kontrola přístupu

   12. Správa aktiv

   13. Environmentální a fyzická bezpečnost

2. Přizpůsobit klasifikaci pro významnost kybernetického bezpečnostního incidentu podle Aktu pro digitály. Incidenty, které Akt pro digitály považuje za významné pak hlásit příslušnému CERT týmu (Pozn.: pozor na to, že nařízení definuje významnosti incidentů obecně + je doplňuje o odlišnosti pro jednotlivé typy digitálních služeb. Povinnost hlásit takové významné incidenty vychází přímo z NIS2.).

📚 nZKB akademie 2025 🧑🏻‍🎓 👩🏻‍🎓

V newsletteru vás pravidelně informujeme o 4-měsíčním kurzu k novému kybernetickému zákonu. Ani tento díle nebude vyjímkou - tentokrát bychom vás rádi informovali, že náš kurz má za sebou “UPGRADE” - stala se z něj totiž 🧑🏻‍🎓 👩🏻‍🎓nZKB Akademie 2025 📚

• Více než 30 hodin výukového obsahu, který studujete kdykoliv a kdekoliv se vám to hodí.

• Online konzultace s lektory.

• Osobní setkání s lektory a účastníky akademie a networking.

• Aktuální informace z oblasti nového kybernetického zákona.

• Znalostní bázi, která vám bude dostupná po celý rok 2025.

🎁 Dárek pro vás - slevový kód k příležitosti Cyber Monday: CM2024
Cena s využitím kódu: 19.000 Kč bez DPH.

Registrace do akademie

Záznam z webináře ManpowerIT

Záznam z webináře o nZKB a práci manažera KB:

Na Youtube kanálu ManpowergroupCz najdete i zbývající 2 části webináře. Pokud řešíte ZTNA, mohla by vás zajímat druhá část webináře. Jestli jsou u vás na pořadu dne lidské zdroje v cybersecurity (hiring, jak si lidi udržet apod.), rozhodně mrkněte na část 3.

Před-Vánoční webinář Guardians.cz k nZKB 🎄

Již příští týden 10.12. od 13:00 organizujeme exkluzivní webinář o implementaci požadavků nového kybernetického zákona. Jde totiž o webinář, jehož obsah můžete ovlivnit! Během 90 minut se zaměříme na klíčová témata, která vás nejvíce zajímají – konkrétně ta, která uvedete při registraci.

Nebaví vás poslouchat všude totéž? Zeptejte se na to, co je pro vás důležité a pomůžete nám postavit webinář na míru 🛠️.

Chci se zúčastnit!

Přijďte na před-Vánoční #CyberPivo

🗓️ Středa 11. 12. 2024 | 📍The Immigrant na Veveří v Brně | ⏱️ od 18:00

Zdarma pro všechny přátele CyberSecurityPlatform.cz (i nečleny).

🧩 Zahrajeme si “cybersecurity poznávačku” o ceny.