DORA, NIS2 a kybernetická bezpečnost
Podnikatelské subjekty i veřejný sektor České republiky jsou nově výrazně ovlivněny nařízením DORA a směrnicí NIS2.
Jak uvádí důvodová zpráva k návrhu novely zákona o kybernetické bezpečnosti, v současné době by již kybernetická bezpečnost neměla být vnímána jako vysoce technické téma týkající se úzkého okruhu specialistů a jako něco, co je řešeno jen na úrovni nejdůležitějších a pro stát nebo soukromý sektor nejvýznamnějších systémů.
Je to téma mající významný vliv na každodenní provoz a může a má na úrovni jednotlivých právních předpisů pronikat do jiných, zcela běžných a mnohem rozšířenějších regulatorních témat – např. do tématu obecné prevence podle občanského zákoníku, péče řádného hospodáře nebo odpovědnosti statutárního orgánu.
Obě regulace vedou na potřebu mapovat primárních aktiva napříč celou organizační strukturou a vést řádnou evidence konfigurací aktiv a jejich propojení a závislostí. Nové nároky jsou kladeny na tisíce podnikatelských subjektů i veřejných institucí, které by měli revidovat stávající způsoby evidence svých aktiv, ať už používají různé Excelové evidence nebo Konfigurační databázi CMDB a procesy, které nad těmito daty vykonávají.
Implementujte systém Konfigurační databáze CMDB pro svoji bezpečnost a splnění regulatorních požadavků.
Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru (DORA – Digital Operational Resiliance Act) klade mj. požadavky na řízení rizika v oblasti informačních a komunikačních technologií (IKT) či hlášení závažných incidentů souvisejících s IKT. Vedoucí orgán firmy nese konečnou odpovědnost za řízení rizika finančního subjektu v oblasti IKT, stanoví jasné úlohy a povinnosti pro všechny funkce související s IKT.
Finanční subjekty identifikují, klasifikují a náležitě zdokumentují veškeré obchodní funkce, úlohy a povinnosti podporované IKT, informační aktiva a aktiva v oblasti IKT. Evidují konfiguraci informačních aktiv a aktiv v oblasti IKT a propojení a vzájemné závislosti.
Finanční subjekty musí disponovat prostředky a pracovníky, aby mohly shromažďovat informace o zranitelnostech, kybernetických hrozbách a o incidentech.
Evropská směrnice NIS2 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (č. 2022/2055) je v ČR realizována novelizací zákona o kybernetické bezpečnosti (transpozice směrnice do legislativy členského státu). Tento zákon upravuje práva a povinnosti osob, organizačních složek státu a dalších orgánů veřejné moci v oblasti zajišťování kybernetické bezpečnosti a působnost a pravomoci Národního úřadu pro kybernetickou a informační bezpečnost a dalších orgánů veřejné moci.
Odhaduje se, že v České republice bude cca 6000 regulovaných subjektů, z čehož cca 80% budou subjekty soukromého sektoru. To představuje významný dopad na podnikatelské prostředí v České republice. Náklady na doplnění bezpečnostních opatření na úroveň stanovenou pro správce a provozovatele informačního systému základní služby budou dle odhadů činit v průměru na jeden subjekt cca 6 000 000 Kč, resp. 11 500 000 Kč, pokud by byla požadována stejná úroveň zabezpečení jako pro kritickou informační infrastrukturu.
Za účelem vymezení stanoveného rozsahu poskytovatel regulované služby
- určí všechna svá primární aktiva,
- posoudí, zda primární aktiva souvisí s poskytováním regulované služby, a
- u primárních aktiv související s poskytováním regulované služby určí podpůrná aktiva.
Jak uvádí důvodová zpráva k návrhu novely zákona, mapování primárních aktiv napříč celou organizační strukturou poskytovatele regulované služby a vedení řádné evidence je klíčovým požadavkem pro správné provedení požadavků směrnice NIS 2, která požaduje přistupovat k implementaci bezpečnostních opatření v rámci celé organizace. Poskytovatel regulované služby díky identifikaci primárních aktiv napříč organizací získá komplexní přehled o svých primárních aktivech, nad kterou může provést kvalifikovanou úvahu o jejich zařazení do rozsahu řízení kybernetické bezpečnosti (či jejich vyjmutí) v souladu s požadavky návrhu zákona. Evidence tohoto zařazení je zásadním důkazem správného postupu v souladu s regulatorními požadavky.