nZKB | Newsletter

Share this post

nZKB | Newsletter
nZKB | Newsletter
Postřehy z pročítání návrhů nZKB po mezirezortu (2. díl)
Copy link
Facebook
Email
Notes
More

Postřehy z pročítání návrhů nZKB po mezirezortu (2. díl)

Martin Konečný
Jan 30, 2024

Share this post

nZKB | Newsletter
nZKB | Newsletter
Postřehy z pročítání návrhů nZKB po mezirezortu (2. díl)
Copy link
Facebook
Email
Notes
More
Share

Asi už jste postřehli v online médiích, nebo na sociálních sítích, že nZKB je už oficiálně zaevidován na Legislativní radě vlády. K vydání nové regulace jsme opět o krok blíž.

Já tedy zkusím navázat na předchozí díl newsletteru a pustím se do druhé části postřehů z pročítání návrhů nZKB …

Postřehy z pročítání návrhů nZKB po mezirezortu (1. díl)

Postřehy z pročítání návrhů nZKB po mezirezortu (1. díl)

Martin Konečný
·
Jan 6
Read full story

Informační povinnost poskytovatele regulované služby

Minule jsem tak trochu přeskočil oblast věnující se informační povinnosti, tak se k ní vrátím nyní.

Informační povinnost zjednodušeně znamená, že NÚKIB může regulované firmě nařídit povinnost informovat o kybernetickém incidentu, který se firmě stal, dotčené uživatele.

Taková informování uživatelů obecně nejsou novinkou. Novinkou je spíše povinnost dle nZKB, s tím je pak samozřejmě spjatá i případná penalizace za její neplnění. V minulosti jsme mohli zažít několik takových informování, např. když došlo k únikům dat, včetně hesel z e-shopu, když byly omezeny některé služby mobilních operátorů atp. Doposud se tohle informování dělo spíše v rámci transparentnosti k zákazníkům, nebo z povinností plynoucí z GDPR atp.

Thanks for reading nZKB | Newsletter! Subscribe for free to receive new posts and support my work.

Nyní návrat ještě k jednomu bodu z minula (omlouvám se za částečné opakování), a tím je…

Zajištění dostupnosti strategicky významné služby

Mám zkušenost s tím, že ustanovení na zajištění dostupnosti strategicky významné služby budí velkou pozornost, obzvlášť ve velkých korporacích. Co tedy ustanovení říká?

Poskytovatel strategicky významné služby musí:

  • Zajistit její dostupnost v nezbytném rozsahu, ve stanoveném čase a kvalitě z území České republiky.

  • Prověřovat schopnost zajištění jejího poskytování (testovat BCP/DRP) v nezbytném rozsahu z území České republiky nejméně jednou za 2 roky a o tomto prověření vyhotovit písemný záznam.

Pozor! Zatímco nezbytný rozsah dostupnosti strategicky významné služby má stanovit vyhláška NÚKIBu, stanovený čas a kvalitu služby stanoví poskytovatel strategicky významné služby zejména s ohledem na charakter a specifika jím poskytované strategicky významné služby, účel, pro nějž je poskytována, a závažnost dopadů narušení jejího řádného poskytování na uživatele služby.

Zdroj: DALLE

Málo kdo čte i “důvodovky”. Důvodová zpráva k nZKB k tomuto ustanovení říká toto:

Strategicky významné služby jsou speciální kategorie regulovaných služeb, jejichž poskytovatelé mají kromě povinností vyplývajících z jiných částí návrhu zákona (plnit bezpečnostní opatření, opatření Úřadu, hlásit incidenty, registrovat se apod.) také povinnosti související se zajištěním dostupnosti strategicky významných služeb z území České republiky a povinnosti související s mechanismem prověřování dodavatelského řetězce strategicky významných služeb. Jde o ty regulované služby, jejichž narušení bezpečnosti by mohlo vést k významnému omezení či ohrožení služeb pro občany státu a chod státu a současně s tím u nich hrozí vysoké riziko, že při narušení jejich poskytování bude negativně ovlivněn chod dalších regulovaných služeb.

…

… Hlavním cílem tohoto ustanovení je zajištění kontinuity poskytování klíčových (strategicky významných) služeb zásadních pro stabilitu a bezpečnost České republiky.

…

… Poskytovateli strategicky významné služby je tedy uložena povinnost zajistit dostupnost této služby s ponecháním svobody ve výběru prostředků, jakými tohoto cíle dosáhne. Nicméně je limitován nutností zajistit tuto dostupnost z České republiky a zajistit ji ve stanoveném rozsahu, který stanoví vyhláška Úřadu. Je tedy omezen v možnosti zajistit dostupnost služeb poskytovaných z území mimo území České republiky pouze za využití standardních smluvních ujednání (typicky SLA), jelikož na tyto se nelze v případě mimořádných událostí, jako je válka či přírodní katastrofa, spoléhat u takto významných služeb.

Zajištění dostupnosti strategicky významné služby z území České republiky však nevylučuje možnost poskytování těchto služeb a jejich řízení také z území mimo Českou republiku. Poskytovatel strategicky významné služby je povinen zajistit schopnost obnovení dostupnosti poskytované strategicky významné služby a její další poskytování výhradně z území České republiky, a to bez použití aktiv mimo území České republiky. Zároveň není vyloučeno, aby zajištění dostupnosti takových služeb z území České republiky bylo řešeno rozdílně oproti standardnímu stavu, tedy například fyzicky bez využití ICT prostředků.

…

… Nezbytný rozsah stanoví již zmíněná vyhláška Úřadu, přičemž cílem je omezit rozsah této povinnosti v rámci konkrétní strategicky významné služby na tu nejkritičtější část této služby podle jednotlivých odvětví.

Stanovený čas je dobou, za kterou je poskytovatel strategicky významné služby schopen přejít na tímto ustanovením požadované řešení zajišťující dostupnost této služby z České republiky. Pokud poskytovatel strategicky významné služby poskytuje tuto službu za využití aktiv nacházejících se pouze na území České republiky, pak stanovení tohoto času bude bezpředmětné, jelikož tuto povinnost bude splňovat inherentně vždy. Pokud však zajištění dostupnosti nezbytného rozsahu strategicky významné služby závisí na využití aktiv umístěných v zahraničí, pak by měl stanovit čas, za který je schopný přejít na náhradní řešení zajišťované z České republiky a obnovit tak poskytování strategicky významné služby.

Stanovenou kvalitou je úroveň strategicky významné služby, v jaké je schopen poskytovatel zajistit dostupnost strategicky významné služby z České republiky. Přičemž tato kvalita může být odlišná, resp. nižší než kvalita standardně poskytované služby, a může být zajištěna i mimo kyberprostor. Rovněž je tento požadavek relevantní pouze v případě, že je zajištění dostupnosti nezbytného rozsahu strategicky významné služby závislé na využití aktiv umístěných v zahraničí.

Stanovený čas i kvalitu stanoví poskytovatel strategicky významné služby sám. Zákon mu pro tyto potřeby poskytuje vodítka, která by měl zohlednit. Konkrétně by měl zohlednit alespoň charakter a specifika strategicky významné služby, účel, pro nějž je poskytována, a závažnost dopadů narušení jejího řádného poskytování na uživatele služby. Toto zahrnuje například zohlednění povinností vyplývajících pro poskytovatele strategicky významné služby z příslušných odvětvových právních předpisů.

Z důvodů zajištění dostupnosti strategicky významné služby v případě shora zmíněných mimořádných událostí je také požadováno otestování schopnosti zajistit poskytování strategicky významnou službu ve stanoveném čase a kvalitě z území České republiky jako základní a běžně používaný mechanismus pro ověření funkčnosti a aplikovatelnosti nastavených postupů a opatření k zajištění služby. Bez otestování by nebylo zajištěno, že postupy a opatření jsou funkční a v případně mimořádné události použitelné.

Povinnost uvedená v tomto ustanovení se vztahuje pouze na množinu poskytovatelů strategicky významných služeb, resp. na jimi poskytované strategicky významné služby, tedy pouze na nejkritičtější a zcela zásadní pro chod státu, jako je energetika, drážní a letecká doprava, telekomunikační služby a veřejná správa, a pouze na nezbytný rozsah těchto služeb.

Už začínáte pracovat na svých business continuity plánech a na jejich testování?

Aktuální informace ke stavu nZKB v rozhovoru se zástupcem NÚKIB

V CyberSecurityPlatform.cz máme, díky našim komerčím partnerům, novou techniku na “podcastování” a video rozhovory. Zatím se s tím učíme a stále to vychytáváme k “dokonalosti”. Třeba, aby se nám nestávalo to, že se nám vypíná kamera, nebo se nám “rozběhne” audio od videa, jako u tohoto video rozhovoru s Martinem Švédou z NÚKIB. Naštěstí zálohy jsme měli (2 kamery s audio/video + samotný audio záznam) a to nás “zachránilo” a máme alespoň kompletní audio podcast » celý rozhovor v audiu si můžete poslechnout zde.

Ukázka z natáčení je zde:

Nejbližší rozhovory, které připravujeme budou např. na téma:

  • penetrační testování a aplikační bezpečnost ve smyslu požadavků nZKB

  • bezpečnost AI služeb a využití AI (nejen) v bezpečnosti

  • bezpečnost datových center

  • bezpečnost cloudových služeb

  • budování start-upu v cybersecurity

Pokud byste měli nápady na zajímavá témata, otázky, které by vás zajímaly, nebo tipy na hosty, budu rád, když nám napíšete na: info@cybersecurityplatform.cz.

Pozvánka do Ústí n. L.

Na téma implementace požadavků nového kybernetického zákona budu vystupovat společně s dalšími kolegy z oboru 7.3.2024 od 13:00 v Ústí n. L. v prostorách ICUK. Půjde o první odborný meetup realizovaný CyberSecurityPlatform.cz.

Událost budeme již brzy publikovat zde, kde najdete i registraci: https://www.cybersecurityplatform.cz/akce

Kurz k novému kybernetickému zákonu

Nyní si dovolím drobnou “reklamu”. Se svými bývalými kolegy z NÚKIB, ale i se současnými kolegy, chystáme unikátní kurz k novému kybernetickému zákonu. Jde o kurz, který je cílený na lidi z praxe, takže vám nebudeme dávat domácí úkoly a projekty, a soustředíme se na poskytnutí potřebných informací a na konzultace reálných problémů z praxe.

Jestliže se pohybujete v oblasti kybernetické a informační bezpečnosti a ...

  • dopadne na vás nový kybernetický zákon?

  • na vaše zákazníky nově dopadne kybernetický zákon?

  • jste významným dodavatelem pro budoucí regulované služby?

  • vnímáte obchodní příležitost v buzzwordu "NIS2"?

  • dodáváte nebo spravujete produkty a služby pro budoucí regulované služby?

  • pracujete na NIS2 / nZKB gap analýze a chcete vědět, jak ji dělat efektivně a pomocí moderních nástrojů, vč. AI?

  • hledáte opravdu kvalitní školení s aktuálním obsahem k novému kybernetickému zákonu?

  • nemáte chuť “vysedávat” ve školící místnosti a chcete si obsah školení poslechnout, kdykoliv se vám to hodí, ale přitom nechcete čistý online obsah a chcete mít kontakt s ostatními a s lektory?

Jestliže jste alespoň na jednu z otázek odpověděli kladně, pak je tento unikátní kurz právě pro vás!

Kurz je navržen speciálně pro vedoucí pracovníky v oblasti informační a kybernetické bezpečnosti, manažery, architekty a auditory kybernetické bezpečnosti, garanty aktiv a relevantní bezpečnostní role.

Tento kurz je vaším průvodcem k porozumění a efektivnímu uplatnění zásad a požadavků kybernetického zákona.

Nejvíce kurz ocení zástupci firem, pro které je kybernetický zákon novinkou a kteří se chtějí na požadavky nového kybernetického zákona průběžně připravovat.

HYBRIDNÍ FORMA VÝUKY

Online obsah + online & živá setkání s lektory

INTERAKTIVNÍ ONLINE PLATFORMA

Diskutujte s lektory a ostatními účastníky, klaďte otázky a sdílejte znalosti.

DYNAMICKÝ OBSAH

Nové materiály každých 14 dní, po dobu 4 měsíců.

PRAVIDELNÉ ONLINE KONZULTACE

Každé dva týdny se spojte s našimi expertními lektory.

Začínáme již v dubnu 2024!

Více na: https://www.cybersecurityplatform.cz/udalosti/4-mesicni-kurz-k-novemu-kybernetickemu-zakonu

Pokračování příště …

Zdroje

  • https://www.odok.cz/portal/veklep/material/ALBSCSSFKU7S/

  • FactSheety dostupné na NIS2.NUKIB.CZ

  • www.guardians.cz

  • www.cybersecurityplatform.cz

  • Důvodová zpráva k nZKB

Thanks for reading nZKB | Newsletter! Subscribe for free to receive new posts and support my work.

Share this post

nZKB | Newsletter
nZKB | Newsletter
Postřehy z pročítání návrhů nZKB po mezirezortu (2. díl)
Copy link
Facebook
Email
Notes
More
Share

Discussion about this post

No posts

Ready for more?

© 2024 Martin Konečný | Guardians.cz & CyberSecurityPlatform.cz
Publisher Privacy
Substack
Privacy ∙ Terms ∙ Collection notice
Start WritingGet the app
Substack is the home for great culture

Share

Copy link
Facebook
Email
Notes
More