Zákon o kybernetické bezpečnosti se týká ochrany informačních systémů a dat před kybernetickými hrozbami. Nové předpisy se vztahují na všechny subjekty, které spravují informační systémy, včetně malých a středních podniků, státních institucí a ostatních subjektů. Zákon o kybernetické bezpečnosti vyžaduje, aby subjekty zajistily ochranu svých informačních systémů a dat, a to v souladu s určitými požadavky na bezpečnost a správu informačních technologií. Zákon stanoví, že subjekty musí zajistit bezpečnost svých informačních systémů a dat na základě rizikového hodnocení a musí přijmout opatření pro minimalizaci rizik.
Pro malé a střední podniky to znamená, že budou muset zajistit ochranu svých informačních systémů a dat stejně jako větší organizace, a to i přesto, že mohou mít omezené zdroje na investice do kybernetické bezpečnosti. Přestože to může být pro malé a střední podniky náročné, je to nezbytné, aby chránily své informace a data před kybernetickými hrozbami, jako jsou hackerské útoky, phishingové útoky nebo ransomware. Nový zákon o kybernetické bezpečnosti také stanoví povinnost subjektů hlásit kybernetické incidenty. To znamená, že pokud malý nebo střední podnik utrpí kybernetický útok, bude muset informovat o tom odpovídající úřady a také své zákazníky a partnery, pokud jsou jejich osobní údaje ohroženy.
Nová pravidla a omezení v oblasti nákupu zařízení vyrobených mimo EU a země NATO mohou ovlivnit nejen malé a střední podniky, školy, úřady a další instituce. Často používají zařízení vyrobená mimo EU a země NATO pro své síťové infrastruktury. Pokud jsou tyto dodavatelské řetězce narušeny novými pravidly a omezeními, může to vést k prodlevám v dodávkách a může to mít dopad na provoz.
Stejně tak, školy a úřady mohou být ovlivněny, pokud používají zařízení vyrobená mimo EU a země NATO pro své počítačové sítě a IT infrastrukturu. Například, když se jedná o použití zařízení v kritických infrastrukturách, jako jsou elektrárny, nemocnice a podobně, mohou být zavedena přísná pravidla a omezení na použití zařízení z bezpečnostních důvodů.
Kybernetický zákon obvykle stanovuje minimální požadavky na bezpečnostní opatření, která musí být dodržována státními institucemi, aby byly chráněny před kybernetickými hrozbami. Konkrétní požadavky se mohou lišit v závislosti na konkrétních požadavcích zákona, ale obvykle se jedná o následující opatření:
Zabezpečení dat: Státní instituce musí zajistit, aby data, která spravují, byla chráněna před neoprávněným přístupem, únikem nebo poškozením. To může zahrnovat zavádění firewally, šifrování dat, zabezpečení přístupu k datům nebo pravidelné zálohování dat.
Zabezpečení sítě: Státní instituce musí zajistit, aby jejich sítě byly chráněny před neoprávněným přístupem a útoky. To zahrnuje zavádění aktualizací softwaru, pravidelné monitorování sítě a zabezpečení přístupových bodů.
Zabezpečení přístrojů: Státní instituce musí zajistit, aby všechny přístroje, které používají, byly chráněny před hrozbami, jako jsou viry nebo malware. To může zahrnovat zavádění antivirového softwaru a pravidelné aktualizace.
Školení zaměstnanců: Státní instituce musí zajistit, aby jejich zaměstnanci byli školeni v bezpečnostních postupech a byli schopni rozpoznat potenciální hrozby. To může zahrnovat školení o phishingu, malware nebo bezpečnostních postupech.
Povinnosti při útocích: Státní instituce musí mít plán na řešení kybernetických útoků a musí být připraveny na rychlou reakci v případě útoku.
Tyto opatření jsou často součástí kybernetických zákonů a jsou nezbytné pro zabezpečení státních institucí a jejich dat. Je důležité si uvědomit, že kybernetická bezpečnost je dynamická oblast, takže státní instituce musí pravidelně monitorovat své sítě a aktualizovat bezpečnostní opatření, aby byly stále chráněny před nejnovějšími hrozbami.
Jak ovlivní nový kybernetický zákon malé a střední podnikatele, státní instituce se dozvíte 4.5.2023 v Olomouci na konference Kam kráčí digitální sítě (KKDS). www.isp-konference.cz
Autor/ka fotografie: Tima Miroshnichenko, Pexels