Jakub Kejval
generální ředitel, Bureau Veritas
Kybernetický zákon a jeho tři prováděcí předpisy jsou účinné od 1. 1. 2015. Kybernetický zákon definuje pro pět subjektů celkem pět povinností, s kterými se musí poprat.
Firmy nevěděly, zda se jich zákon týká
Úvodní otázka, na kterou subjekty obtížně hledaly odpověď, byla: "Týká se nás kybernetický zákon? Spadáme pod některý z typů povinných subjektů a pod který?" Nejčastější nejasnosti byly kolem definice významných informačních systémů a kritické infrastruktury.
generální ředitel, Bureau Veritas
Proto NBÚ a Národní centrum kybernetické bezpečnosti zveřejnili na svých stránkách metodickou pomůcku, díky níž si můžete na tuto otázku odpovědět (pokud ještě tápete):
1. pro Kritickou informační infrastrukturu ji naleznete na www.govcert.cz/cs/kiivis/kriticka-informacni-infrastruktura/,
2. pro Významné informační systémy na adrese www.govcert.cz/cs/kiivis/vyznamne-informacni-systemy/.
Nejasnosti panovaly u jmenování manažera pro kybernetickou bezpečnost
Všech pět subjektů mělo splnit první povinnost (nahlásit kontaktní údaje) do 31. 1. 2015. Bylo třeba vyplnit poměrně jednoduchý formulář pro hlášení kontaktních údajů, který je v příloze č. 7 k vyhlášce č. 316/2014 Sb.
Až při vyplňování formuláře si však subjekty uvědomily, že musí již nyní interně jmenovat manažera kybernetické bezpečnosti, neboť v části C tohoto formuláře nejde jen o kontaktní osobu, ale zároveň také o osobu oprávněnou jednat za danou organizaci ve věci kybernetické bezpečnosti. Tuto roli tedy nelze narychlo svěřit asistentkám, jak některé subjekty předpokládaly a chtěly učinit. Jde o "manažera kybernetické bezpečnosti", kterou může být pouze osoba, odpovědná za systém řízení bezpečnosti informací, jež je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením bezpečnosti informací po dobu nejméně tří let.
Firmy analyzují rizika a plánují investice do kybernetické bezpečnosti
Aktuálně subjekty začaly zpracovávat, resp. upravovat bezpečnostní dokumentaci a zavádět či přizpůsobovat bezpečnostní opatření. Nyní analyzují svůj stávající bezpečnostní systém, stávající organizační a technická bezpečnostní opatření a zvažují, kolik do systému investovat, aby jej zlepšily na úroveň požadavků kybernetického zákona za přiměřené náklady.
Některé organizace zavádějí svůj systém bezpečnosti informací podle ISO 27001 a připravují se na certifikační audit. Zkrátka mají ještě hodně práce před sebou.
Jakub Kejval
generální ředitel, Bureau Veritas
Přidejte si Hospodářské noviny mezi své oblíbené tituly na Google zprávách.
Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.
- Veškerý obsah HN.cz
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Ukládejte si články na později
- Všechny články v audioverzi + playlist