Změny v nZKB

Jistě jste postřehli, že NÚKIB zveřejnil upravenou verzi návrhu nového kybernetického zákona, kde zapracoval požadavky Legislativní rady vlády. Zároveň je super, že na webu NIS2.NUKIB.CZ zveřejnil krásný přehledový materiál změn. Většina úprav jsou z mého pohledu formality. Přesto si dovolím pár změn okomentovat:

Propojené podniky majetkově, ale ne technicky

“Při počítání velikosti se za partnerský nebo propojený podnik se nepovažují osoby, jejichž technická aktiva jsou zcela oddělena od technických aktiv, která používá posuzovaná osoba při poskytování regulované služby.“

Zde samozřejmě bude v praxi potřeba ze strany regulátora metodické vyjasnění, co tím je a není myšleno. Zda například 2 propojené podniky, které využívají k výměně dat mezi sebou API nezávislé 3. strany, ale jinak mají samostatnou infrastrukturu, spravovanou odděleně, spadají nebo nespadají pod tuto definici. Bez dodatečného metodického výkladu budou muset dotčené organizace spoléhat na zmapování aktiv a závislostí, schemata architektury a odůvodnění dopadů takové integrace ve vztahu k regulované službě a k tomu, proč ji nepovažují za propojení technických aktiv obou propojených podniků.

Stanovení rozsahu řízení kybernetické bezpečnosti

(1) Součástí rozsahu řízení kybernetické bezpečnosti (dále jen „stanovený rozsah“) jsou aktiva související s poskytováním regulované služby.

(2) Za účelem vymezení stanoveného rozsahu podle odstavce 1 poskytovatel regulované služby

• a) určí všechna svá primární aktiva,

• b) posoudí, zda primární aktiva souvisí s poskytováním regulované služby, a

• c) u primárních aktiv podle písmene b) určí podpůrná aktiva.

(3) Poskytovatel regulované služby eviduje aktiva, která jsou součástí stanoveného rozsahu a primární aktiva, která byla ze stanoveného rozsahu vyjmuta, včetně důvodů jejich vyjmutí.

(4) Platí, že primární aktiva, která ještě nebyla posouzena podle odstavce 2 písm. b), a podpůrná aktiva, která ještě nebyla určena podle odstavce 2 písm. c), jsou součástí stanoveného rozsahu.

(5) Stanovený rozsah je poskytovatel regulované služby povinen pravidelně přezkoumávat a aktualizovat.

Ustanovení návrhu zákona ohledně stanovení rozsahu hodnotím kladně, je to srozumitelné. Jelikož je to za mě základní krok ISMS, prerekvizita pro správnou kontextualizaci apod., tak to tu přesto zmiňuji.

Protiopatření

Protiopatření coby institut se zjednodušilo, a mimo jiné, poukazuje to na nevýhodu toho, že v nižším režimu je řízení rizik, jako požadavek jen “mezi řádky” :(

Strategicky významné služby

Informace o tom, že regulovaná služba je strategicky významnou službou (SVS), je součástí odůvodnění rozhodnutí o registraci regulované služby. Na to pak navazuje zajištění dostupnosti SVS. Věcně zůstává princip stejný, jak jsem jej již popisoval zde. Tedy poskytovatel regulované služby musí zajistit dostupnost SVS v nezbytném rozsahu.

“Nezbytným rozsahem je část strategicky významné služby, jejíž nedostupnost by mohla mít závažný dopad na bezpečnost České republiky nebo vnitřní pořádek. Výčet částí strategicky významných služeb tvořících nezbytný rozsah a způsob jejich vymezení stanoví NÚKIB vyhláškou nebo rozhodnutím podle § 26 odst. 1.”

Čas a kvalitu služby stanoví poskytovatel strategicky významné služby zejména s ohledem na charakter a specifika jím poskytované strategicky významné služby, účel, pro nějž je poskytována, a závažnost dopadů narušení jejího řádného poskytování na uživatele strategicky významné služby. O stanovení času a kvality služby je poskytovatel strategicky významné služby povinen vyhotovit záznam.

Zdroje:

• https://nis2.nukib.cz/

• https://osveta.nukib.gov.cz/pluginfile.php/58363/course/section/1455/2024-05-29_Prehled-zmen-nZKB-LRV_v1.0.pdf?time=1716974392084

• https://www.odok.cz/portal/veklep/material/ALBSCSSFKU7S/

Spouštíme druhý běh 4 měsíčního kurzu k nZKB

Průběžně vám v newsletteru zmiňuju, jak se vyvíjí náš 4 měsíční kurz k nZKB. Trochu jsme jej vytunili a spustili registrace do druhého běhu (zjednodušili jsme si to organizačně - témata zveřejňujeme jednou měsíčně, stejně tak i konzultace budou jednou měsíčně, z toho 2x osobně a 2x online!).

Tak co, už jste přihlášeni?

Že tato dlouhodobá záležitost není pro vás a že byste chtěli intenzivní online nalejvárnu, kdy vyměníte na pár večerů Netflix a rodinný život za nZKB? Pak vás brzy potěším, protože chystáme i variantu bez konzultací, čistě s online obsahem. Předpokládám, že bude hotová nejpozději koncem července.

Záznam z webináře “Security-as-a-service”

Chvíli slávy jsem si užil v rámci webináře, který pořádali kolegové z ProID. Zmiňoval jsem se mimo jiné o tom, co chtít po manažerovi KB, který je vám poskytován formou služby (MKBaaS). Ve skutečnosti jsem toho ale chtěl, jako vždy, říct mnohem víc, ale nebyl čas :D. Nicméně, záznam z virtuální konference, vč. prezentací, najdete zde: https://proid.cz/zaznam-virtualni-konference-security-as-a-service/

Jak se vydařil meetup NIS2 a KB prakticky v pražském Operu?

Minulý týden jsme v Praze v Operu společně s partnery pořádali akci CyberSecurityPlatform.cz, která se opravdu vydařila. Účast byla hojná a atmosféra skvělá. Účastníci od nás vždy dostávají záznamy z přednášek a prezentace, ale hlavně spoustu nápadů a informací.

Jak to celé probíhalo se můžete mrknout v galerii, kterou jsme právě publikovali na webu platformy: https://www.cybersecurityplatform.cz/udalosti/jak-probihal-meetup-nis2-a-novy-kyberneticky-zakon-prakticky-v-praze-v-opero

ZoKB prakticky - Whitepaper

S kolegy z GoodAccess jsme vytvořili vydařený whitepaper - “Nový zákon o kybernetické bezpečnosti prakticky - Organizační a technická doporučení”. Ten by vám měl pomoci se v problematice nového kybernetického zákona lépe zorientovat. Porozumět jeho účelu a konkrétním krokům, včetně vysvětlení potřebných technologií, které vám pomohou požadavky nového zákona naplnit. Ocení jej nejen organizace v budoucím nižším režimu regulace. Tento whitepaper si můžete stáhnout např. zde: https://www.guardians.cz/files/zokb-prakticky-whitepaper.pdf

Školení kybernetické bezpečnosti pro zaměstnance?

Máte na stole projekt/úkol o zajištění školení kyberbezpečnosti? Tak koukněte na 10 tipů pro školení kybernetické bezpečnosti Davida Kudrny: https://kudrnasobkova.cz/nis2-10-tipu-pro-skoleni-kyberneticke-bezpecnosti/

Začátky na NÚKIB a bezpečnost AI a low/no-code

O mých začátcích na NÚKIB a o bezpečnosti AI a low/no-code se dozvíte v rozhovoru, který jsem dělal pro Františka Nonemana z GDPR.cz: https://www.gdpr.cz/pred-mikrofonem-kyberbezpecnost-na-nukibu-i-v-ai-platformach

A když jsme u těch AI nástrojů - využíváte některé z nich k usnadnění práce při přípravě na zajišťování shody s nZKB, nebo třeba pro usnadnění práce s ISMS?

Legenda k odpovědím:

Ano - pokud využíváte na pokročilé analýzy relevantních dat, přípravu dokumentací, práci s riziky, psaní kódu atd. + samozřejmě k vyšší produktivitě.

Částečně - pokud AI využíváte např. jen pro rychlé hledání informací, úsporu času atp., ale ne přímo v souvislosti s nZKB aktivitami.

Ne - (netřeba komentovat)

Co se o NIS2 nebo příbuzných tématech píše v zahraničí? [beta]

(summary generováno za použití Feedly AI a ChatGPT 4o)

1. NIS2 a DORA: Připravenost na kybernetické útoky. Evropské směrnice NIS2 a DORA kladou zvýšené nároky na kybernetickou bezpečnost organizací. Tento článek analyzuje, jak se organizace připravují na nové regulační požadavky a jaké výzvy a příležitosti to přináší pro kybernetickou bezpečnost. Information Age

2. NIS2: Přeměna výzev SOC na příležitosti. Implementace směrnice NIS2 přináší řadu výzev pro bezpečnostní operační centra (SOC). Tento článek zkoumá, jak mohou SOC tyto výzvy přeměnit na příležitosti ke zlepšení svých schopností a posílení celkové bezpečnostní pozice. SANS

3. Kybernetičtí profesionálové bojují s regulačními požadavky. Kybernetičtí profesionálové se potýkají s rostoucími regulačními požadavky, které komplikují jejich práci. Zatímco regulace mají za cíl zvýšit bezpečnost, jejich složitost a neustálé změny představují významnou zátěž pro bezpečnostní týmy. Infosecurity Magazine

4. V Baltských státech se rozvíjejí obranné technologie. V Estonsku, Lotyšsku a Litvě dochází k výraznému rozvoji obranných technologií. Lotyšsko nedávno schválilo novou kybernetickou legislativu a vytvořilo akcelerátor DIANA pro inovace v obraně. Estonsko investuje 50 milionů eur do obranných technologií, zatímco Litva spolupracuje se start-upem Astrolight na laserové komunikaci. Emerging Europe

5. EU DORA zvyšuje nejistotu mezi finančními CISO. Regulace Evropské unie pro digitální operační odolnost (DORA) vytváří mezi CISO ve finančním sektoru nejistotu. Cílem DORA je posílit odolnost finančních institucí proti kybernetickým útokům, ale nedostatek jasných pokynů a odpovědí zvyšuje obavy z její implementace a compliance. CSO Online

6. Kybernetická bezpečnost ICS/OT a umělá inteligence: současnost a budoucnost. Umělá inteligence hraje klíčovou roli v kybernetické bezpečnosti průmyslových řídicích systémů (ICS) a operačních technologií (OT). SANS

7. Nový ransomware využívá BitLocker k šifrování dat obětí. Nedávno objevený ransomware využívá nástroj BitLocker od Microsoftu k šifrování dat obětí, což ztěžuje dešifrování bez zaplacení výkupného. Tento nový typ útoku je zvláště nebezpečný, protože BitLocker je legitimní nástroj, což ztěžuje jeho detekci. Ars Technica

8. Falešné antivirové weby šíří malware. Nedávno byly odhaleny falešné webové stránky nabízející neexistující antivirový software, které ve skutečnosti šíří malware. Tyto stránky jsou navrženy tak, aby vypadaly jako legitimní nabídky, což má za cíl oklamat uživatele a infikovat jejich zařízení škodlivým softwarem. Security Affairs

9. Odborníci našli chybu v Replicate AI. Byla objevena vážná zranitelnost v AI nástroji Replicate, která může být zneužita k neoprávněnému přístupu k citlivým datům. Tento objev zdůrazňuje důležitost bezpečnostních auditů a pravidelné kontroly bezpečnosti AI systémů. The Hacker News