O stavu nZKB a o konsolidaci auditů a analýz
Stav nZKB
Všichni jste jistě postřehli, že předpokládaný termín vydání nového kybernetického zákona se nám posouvá, pravděpodobně na 2.Q 2025. Aktuální situace je taková, že návrh zákona je v 1. čtení v Poslanecké sněmovně ČR, v jednotlivých výborech (Výbor pro obranu, Výbor pro bezpečnost a Hospodářský výbor). Výbory svá projednávání přerušily. Další projednávání by měly proběhnout od 17. 11. 2024. Je vhodné říct, že jde o standardní postup.
K aktuálním informacím a detailním zprávám a audio nahrávkám z výborů se jde dostat přímo ze sněmovního tisku, ten najdete zde: https://www.psp.cz/sqw/historie.sqw?o=9&T=759.
Doporučuji audio nahrávky proklikat, abyste si udělali obrázek a názor na věc. Osobně obdivuju reakce zástupců NÚKIB a kvituju vstup náčelníka generálního štábu. Ten upozornil na nezbytnost strategického uvažování v kyberbezpečnostní oblasti. NÚKIBu držím palce, ať je poslaneckých přílepků co nejméně, neboť při poslechu audio nahrávek se začínám obávat, co může přijít.
Ze zkušenosti od svých klientů vím, že když vrcholní zástupci firem definují své mise a strategie, mají definované business cíle a současně jim plnění těchto cílů “stojí” na podpoře ze strany ICT a/nebo OT, pak jistě nějakou dobu řeší i kybernetickou bezpečnost. Díky uvědomění si těchto vazeb na core business, postupují strategicky a zdroje vynaložené na kybernetickou bezpečnost berou jako náklady nezbytné k tomu, aby byl jejich business v 21. století odolný vůči hrozbám aktuální doby.
O strategiích v oblasti kybernetické bezpečnosti, ale i o zkušenostech, které mám ohledně přípravy firem na nový kybernetický zákon, si můžeme popovídat na unikátním webináři “na míru”, který jsem si připravil na prosinec. Jeho obsah bude totiž sestaven na míru tomu, o co si řeknete při registraci (více na konci newsletteru, nebo zde).
Konsolidace auditů a analýz
Zde si dovolím navázat na předešlé téma, kterým bylo compliance mapování. Přístup, který tu budu popisovat nyní, je v podstatě hodně podobný, jen se zaměřuje na konsolidaci auditů a analýz a samotné mapování je k tomu vlastně prerekvizitou. A věřte nebo ne, taky to může firmám ušetřit nemalé peníze.
Compliance mapování aneb jak se neuvařit v "kyber-regulatorním pekle"
Představte si firmu, kde se v jednom roce seběhnou následující činnosti:
interní audit ISMS,
audit kybernetické bezpečnosti podle současného kybernetického zákona,
podrobná gap analýza k novému kybernetickému zákonu,
gap analýza na DORA,
certifikace ISMS.
Co mají tyto činnosti společného?
např. řadu požadavků (viz zmíněné compliance mapování),
stojí vás to nejen náklady na samotné provedení, ale také čas odpovědných osob,
odpovědné osoby u vás ve firmě se v rámci zmíněných činností značně překrývají,
a taky to, že tyto osoby skoro nemají čas na vlastní práci, protože pořád “vysedávají” na schůzkách s auditory, konzultanty a do nekonečna popisují současný stav toho samého.
Co s tím?
Nejprve potřebujete mít celkový pohled na věc a uvědomit si, že děláte jednu věc třikrát a pak už vám stačí lépe plánovat a tyto aktivity konsolidovat. Není to tak jednoduché, ale dá se to! Navíc, výhodnější je zaplatit pár hodin seniorního auditora/analytika, který konsolidaci navrhne, než nad tím vůbec nepřemýšlet, ušetřit na plánování a mít v rámci jednotlivých malých projektů 3x stejné schůzky, kde máte často i týmy seniorních a juniorních kolegů. To je poměrně jednoduchá matematika.
Co k tomu potřebujete?
systematický přístup a přehled v tom, co se u vás ve firmě z hlediska compliance děje (bez toho vás výše popsaná optimalizace pravděpodobně nenapadne),
mít hotové mapování,
ideálně mít k dispozici vhodné GRC řešení, které pomůže s podpůrnou evidencí a podporou procesů kolem,
mít k tomu kompetentní lidské zdroje se znalostmi jak něco podobného realizovat.
V některém z budoucích dílů se vám pokusím poskytnout nějaké ukázky a popsat výhody. Mezi tím přeju hodně štěstí v optimalizačních krocích tohoto typu.
Pokud v této oblasti tápete, nebo byste rádi nasdíleli i svůj pohled nebo zkušenost, budu rád, když napíšete na můj LinkedIn nebo na email martin(a)guardians.cz.
Pozvánka na eventy plné informací
Konference a NIS2 meetup 22.10. na FEKT VUT v Brně
Akce, která je doslova za rohem je konference a NIS2 meetup CyberSecurityPlatform.cz, uskuteční se již 22.10. v Brně na půdě FEKT VUT v Brně. Tento den zahájíme dopolední konferencí. Vystoupí tu řečníci z akademické i soukromé sféry, ale i zástupci armády s tématem OSINTu.
Následovat bude již tradiční NIS2 meetup, který po svém pilotu v Ústí n. L. sklidil i veliký úspěch v pražském Operu.
Jelikož čtete newsletter primárně zaměřený na kybernetický zákon, jistě oceníte, že na místě budete moci potkat i zástupce NÚKIB. Najdete je spolu s ostatními partnery konference se svými stánky v předsálí hlavního programu.
Těšit se můžete na den plný inspirace a nových informací. Neváhejte s registrací!
Kurz k novému kyberzákonu s promo kódem
Stále je možné se registrovat do našeho 4-měsíčního kurzu k novému kybernetickému zákonu, který již běží od září. První osobní setkání s lektory máme naplánované na 18.11. v Praze, takže o to, co je většinou našich absolventů hodnoceno nejlépe nepřijdete, i když do kurzu naskočíte třeba právě nyní.
Využijte tento promo kód na slevu 40% pro kurz v termínu září-prosinec 2024 a slevu 25% pro kurz v termínu leden-duben 2025: “NEWSLETTER-10-24”
Webinář - Kybernetická bezpečnost a lidské zdroje
Protože plnění požadavků NIS2 a nZKB bude mít výrazný dopad na lidské zdroje v oblasti kybernetické bezpečnosti, s kolegy z GoodAccess® jsme spojili síly s odborníky na tuto oblast, s kolegy z Manpower a připravili jsme si pro vás webinář zdarma. 🎬
Na webináři se dozvíte, jak nástup nového kybernetického zákona ovlivní firmy a jak se na něj připravit. Společně s kolegy odpovíme na otázky ohledně bezpečnostních procesů, technologie a náborů IT specialistů.
Před-Vánoční webinář Guardians.cz 🎄
Na začátek prosince, konkrétně na 10.12. od 13:00, jsem si pro vás připravil exkluzivní webinář. Jde totiž o webinář, jehož obsah můžete ovlivnit!
Během 90 minut se zaměříme na klíčová témata, která vás nejvíce zajímají – konkrétně ta, která uvedete při registraci.
Tento webinář je určen výhradně pro zástupce firem, které budou regulovány novým kybernetickým zákonem. Omlouvám se kolegům konzultantům, ale tento webinář je opravdu jen pro potenciální zákazníky, kteří čelí, případně budou čelit, novým požadavkům připravované regulace. (Více info po kliknutí na tlačítko “Chci se zúčastnit” výše).