Přijetí nového kybernetického zákona, který v Česku implementuje evropskou směrnici NIS2, se blíží. S tím také souvisí řada lhůt, které tento zákon zavádí a bude nutné je dodržet. Experti na kybernetickou bezpečnost z Exclusive Networks proto přinášejí jednoduchý přehled, aby s dodržením pravidel neměly firmy starosti.
1. Sebeidentifikace (60 dní od účinnosti zákona)
"Po nabytí účinnosti nového zákona o kybernetické bezpečnosti mají podniky přibližně 60 dní na to, aby provedly sebeidentifikaci. To znamená, že musí zjistit, zda spadají pod působnost směrnice NIS2 – tedy zda jsou součástí výčtu regulovaných služeb, zda splňují velikost podniku a do jakého stupně regulace případně spadají,“ říká Hynek Vácha ze společnosti Exclusive Networks, která se specializuje na digitální infrastrukturu a kybernetickou bezpečnost, kde spolupracuje se světovým lídrem v této oblasti, společností Fortinet.
2. Registrace u NÚKIB
Jakmile dojde k sebeidentifikaci, podniky se musí registrovat na portálu Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).
3. Hlášení kontaktních údajů (30 dní od registrace)
Dalším krokem je nahlášení údajů jako název podniku, IČO, adresa sídla podniku nebo kontaktní osoby.
4. Hlášení incidentů
Od chvíle registrace mají podniky také povinnost hlásit významné kybernetické incidenty, a to v několika fázích. Prvotní oznámení musí proběhnout do 24 hodin od zjištění významného incidentu a zahrnuje základní informace jako čas zjištění, povaha incidentu a předběžné dopady. Podrobná zpráva se podává do 72 hodin od zjištění incidentu a obsahuje detailnější informace, jako jsou příčiny incidentu, jeho dopady a přijatá opatření. Závěrečná zpráva se pak podává do 1 měsíce od zjištění incidentu a pouze v případě, že je potřeba poskytnout další podrobnosti nebo aktualizace.
5. Implementace bezpečnostních opatření (12 měsíců od registrace)
"Po registraci mají podniky jeden rok na zavedení potřebných technických a organizačních opatření – podle toho, do kterého stupně regulace patří. To zahrnuje například vytvoření bezpečnostní dokumentace, zavedení systému pro řízení rizik nebo zajištění školení zaměstnanců a vedení,“ doplňuje Hynek Vácha.
Zdroj: EMC
