Nastavení kybernetické bezpečnosti v organizacích

od Zveřejněno dne

Vzhledem ke svým zkušenostem Vám nabízím asistenci při zvládnutí požadavků zákona o kybernetické bezpečnosti. Celý proces pilotně proběhl se zákazníky ze státní správy i s komerřními subjekty.

Proč?
Ke dni 1. 1. 2015 vstoupil v platnost zákon o kybernetické bezpečnosti č. 181/2014 Sb., a související vyhlášky č. 315, 316 a 347 / 2014 Sb. Od té doby byly o předpisy novelizovány, naposledy v červnu a červenci 2022.
Navíc, v roce 2023 vstoupí v platnost evropská směrnice označená NIS 2. Ta stanovuje pravidla při řešení kybernetické bezpečnosti uvnitř státních, ale i soukromých organizací a její zavedení v bude mít zásadní dopad na fungování cca 6000 českých firem ze sektorů, které lze označit jako kriticky důležité pro běžné fungování naší současné společnosti a které zároveň poskytují alespoň jednu službu uvedenou v přílohách směrnice a zároveň zaměstnávají 50 a více zaměstnanců, nebo dosahují ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK). U některých vyjmenovaných služeb je však stanoveno, že pod regulaci směrnice NIS2 budou  spadat všechny organizace, nehledě na jejich velikost.
Maximální pokuta za její nedodržení je stanovena na 10 000 000 Kč, nebo 2 % z celkového celosvětového ročního obratu společnosti.

Jak?

  • Pomohu vyjasnit a zpřehlednit zákon o kybernetické bezpečnosti a související vyhlášky, sumarizuji požadavky specifické pro Vaši organizaci
  • Zajistím soulad s požadavky zákona o kybernetické bezpečnosti, normou ISO 27000 a oborovou best-practice
  • Zreviduji současné procesy zajištění kybernetické bezpečnosti ve Vaší organizaci, identifikuji příležitosti ke zlepšení a zajištění souladu s požadavky zákona
  • Pomohu s praktickým zavedením požadavků na bezpečnost do Vaší organizace
  • Zkonkrétním rozčlenění činností pro jednotlivé útvary v rámci Vaší organizace (IT, bezpečnost, odbor vlastníka IS apod.)
  • Nadefinuji požadavky na vlastníka IS, dodavatele aplikace, provozovatele aplikace a provozovatele infrastruktury
  • Posoudím i existující smlouvy s dodavateli aplikací, jejich provozovateli a provozovateli datových center
  • Začlením vlastní know-how technologického experta a zároveň zkušenosti konzultanta v oblasti procesů a organizačního poradenství
  • Zastřeším veškeré související služby know-how soudního znalce v oblasti kybernetické bezpečnosti
  • Veškerou agendu zpracuji a dle požadavku předám know-how přímo na odpovědné osoby ve vaší organizaci
  • Pomohu vydefinovat povinnosti pro manažera kybernetické a informační bezpečnosti
  • Kromě mne mám kolem sebe tým kolegů, kteří doplní mé kapacity a znalosti

Výsledek
Organizační a procesní nastavení organizace odpovídající požadavkům zákona o kybernetické bezpečnosti, požadavkům norem řady ISO 27000 a oborových best-practice; definice procesu řízení informační bezpečnosti (role, odpovědnosti, kompetence, návaznosti) a jeho fungování v organizačním uspořádání, řízení procesů informační bezpečnosti (monitoring informační bezpečnosti, řízení bezpečnostních incidentů, řízení zranitelností apod.)

Publikoval Jiří Berger