Jak splnit legislativní požadavky na kybernetickou bezpečnost

08.12.2023

Legislativa v oblasti kybernetické bezpečnosti je založena na principu prospektivní odpovědnosti, která hledí do budoucna. Povinná osoba, která má povinnost se sama sebe určit (a toto oznámit Národnímu úřadu pro kybernetickou a informační bezpečnost), musí zavést takový systém opatření, který má za účel zabránit hrozbám a rizikům. Mezi opatření k řízení rizik patří technická a organizační opatření. 

Povinnými osobami jsou ty osoby, které jsou určeny předpisy (nově NIS2) a týká se i osob, které jsou dodavateli osob, resp. které dodávají subjektům z oblasti kritické informační infrastruktury, významných informačních systémů nebo tzv. základní služby. 

Vyhlášky určují obsah bezpečnostních opatření pro smluvní vztahy s dodavateli. Splnění podmínek a příprava je cestou k možnosti dodávat informační systémy např. státu. Typově obdobným příkladem je dodávka cloudových služeb pro stát, příkladmo archivní správy a spisové služby. Pokud poskytovatel není zapsán v katalogu cloud computingu, nemůže úspěšně reagovat na poptávku, resp. veřejnou zakázku státu. Obdobný princip vyplývá z legislativy kybernetické bezpečnosti, byť dodavatel (prozatím) nemusí být registrován v nějakém katalogu. Nebude-li způsob řízení rizik odpovídat představám vyhlášky a nebude-li zvládnuta informační povinnost o kybernetických bezpečnostních incidentech, nelze být v poptávce povinné osoby úspěšný takový dodavatel, který tyto podmínky nesplňuje. Těchto podmínek je celá řada – řešení autorství programového kódu a jeho předávání, resp. formát předávání (a s tím související na popularitě získávající úschova programového kódu), zajištění kontinuity činností aj..

Je nutné podotknout, že není a priori účelem definovat rozsah systému bezpečnosti informací absolutně na všechny aktiva v organizaci, ale definovat je zdravě ekonomicky tak, aby se ISMS rozsahem kryla (alespoň) s těmi aktivy, na kterých je informační systém závislý.

Prakticky bývá problém se shodou mezi bezpečnostní politikou a bezpečnostní dokumentací a jejich výkonem a kontrolou. Audit povinné osoby před podpisem smlouvy, nebo v průběhu jejího plnění může objevit, že dokumentace má toliko společného s pravdou jako proslavené Potěmkinovy vesnice. Toto může vézt k smluvním sankcím, výpovědi smlouvy, nebo odstoupením od takové smlouvy. U povinných osob toto může vézt, po auditu NUKIBu i k veřejnoprávním sankcím – pokutám. Extrémem je, mimo drakonických pokut, možnost odebrat jednatelům, nebo představenstvu jejich oprávnění vykonávat činnost soudem, byť se k této sankci zatím právní odborníci staví skepticky.

Sepsat směrnici je jedna věc, vykonávat ji, je věcí druhou. Velký subjekt, který má masivní informační systémy bude muset sepsat bezpečnostní dokumentaci podle možnosti na míru svému fungování a upravit pouze ty procesy, které jsou nevyhovující. Platí, že úroveň kybernetické bezpečnosti u povinných osob je dobrá a zásahy tak nemusí být nijak obrovské. Střední, nebo malé podniky, které se stanou povinnými osobami, nebo které povinným osobám budou dodávat, mají v zásadě dvě možnosti: přijmout odpovídající bezpečnostní dokumentaci a vybudovat dostatečně robustní systém bezpečnostních opatření, nebo přijmout bezpečnostní opatření dodané třetí osobou.

Směrnice mají definované indikátory (ukazatele / metriky) výkonnosti přiřazené procesu, službě, organizačnímu útvaru nebo celé organizaci, které vyjadřují požadovanou výkonnost (kvalitu, efektivnost nebo hospodárnost) (KPI); indikátory používané pro zhodnocení míry úrovně a míry rizika (KRI) a měřitelné ukazatele, které se zaměřují na úroveň ochrany soukromí a splnění požadavků souvisejících s ochranou osobních údajů (PPI). Ideálním stavem je mít tzv. "executable documentation". Říkají kdo zodpovídá, kdo kontroluje, jak se měří, jak se zjišťuje stav. Části směrnice o řízení přístupu třeba definují zda a jestli je dovoleno přihlašování pod nepersonifikovaným účtem. K tomu může povinné osobě pomoct služba: ONLINE DASHBOARD, vizuální nástroj pro rychlý a přehledný přístup, portál (spustitelné) dokumentace. Dle legislativy musí povinná osoba řídit rizika – mít zavedené strategie, politiky, procesy, protokoly a nástroje, které jsou nezbytné pro efektivní ochranu všech fyzických komponent a infrastruktur. Má-li povinná osoba služby outsourcované, musí je mít pospané, mít přehled. Tyto a jiné služby, např. z oblasti service managementu, business continuity managementu, bezpečnosti sítí a systémů je možné (a často i legislativně nutné) řídit. Digitální advokát Vám pomůže s definicí nutných zákonných požadavků (co splnit?) a zároveň s definicí, či pravidly pro veřejnou nebo soukromou soutěž na dodavatele (koho vybrat?), nebo přímo s dodávkou takových činností.

S čím Vám jako digitální advokát můžu pomoci?

  • Zjistit, zda jsou jste povinni přijmout opatření k ochraně svých informačních systémů a dat
  • Definovat rozsah systému bezpečnosti informací, který je pro vás vhodný
  • Zajistit, aby vaše bezpečnostní politika a dokumentace byly v souladu s legislativními požadavky
  • Vybrat vhodného dodavatele bezpečnostních služeb
  • Zvýšit úroveň kybernetické bezpečnosti vaší organizace