KYBEZ

Nový zákon o kybernetické bezpečnosti, který má vejít v účinnost ve druhé polovině roku 2025, přináší nové povinnosti pro obce s rozšířenou působností. Na ostatní obce (I. a II. typu) se vztahují pouze obecné požadavky na přiměřené zabezpečení informačních systémů.

Kdo se nově stane regulovaným subjektem?

Podle nového zákona budou obce s rozšířenou působností (ORP) považovány za poskytovatele regulovaných služeb v režimu nižších povinností. To znamená, že budou muset dodržovat konkrétní pravidla a bezpečnostní opatření pro ochranu svých IT systémů a dat.

Jaké povinnosti obce čekají?

1. Ohlášení regulované služby

Do 60 dnů od účinnosti zákona bude nutné ohlásit regulovanou službu prostřednictvím Portálu NÚKIB (v sekci „Chci vyřídit“).

2. Zavedení bezpečnostních opatření

Obce budou mít 1 rok na to, aby implementovaly stanovená bezpečnostní opatření. Cílem je chránit klíčové systémy před kybernetickými hrozbami.

3. Hlášení incidentů

Incidenty s významným dopadem bude nutné hlásit Národnímu CSIRT týmu přes Portál NÚKIB.

4. Provádění protiopatření

V případě ohrožení musí obec provádět preventivní i reaktivní kroky k nápravě – tzv. protiopatření.

Povinná bezpečnostní opatření: Čtyři základní oblasti

Zavádění bezpečnostních opatření podle nové legislativy je postupný proces. Celkem existuje 13 kategorií bezpečnostních opatření, ale pouze čtyři z nich jsou povinné pro všechny regulované subjekty, tedy i obce s rozšířenou působností. Ostatní opatření se zavádějí přiměřeně, dle individuálních potřeb a rizik.

1. Zajišťování kybernetické bezpečnosti

• Vedení a každoroční vyhodnocování přehledu bezpečnostních opatření

• Uchování přehledů po dobu 4 let

• Určení osoby odpovědné za kybernetickou bezpečnost

• Vytvoření a schválení bezpečnostní politiky a související dokumentace

• Dodržování stanovených pravidel a postupů

• Stanovení pravidel pro ochranu aktiv a jejich použití

• Uplatnění bezpečnostních požadavků v dodavatelských smlouvách

2. Povinnosti vrcholného vedení

• Vedení musí být prokazatelně seznámeno s povinnostmi a odpovědnostmi v oblasti kybernetické bezpečnosti

• Zajišťuje dostatečné personální i technické zdroje pro plnění povinností

• Pravidelně kontroluje naplňování bezpečnostních opatření

3. Bezpečnost lidských zdrojů

• Zavedení pravidel bezpečného chování uživatelů

• Vzdělávání zaměstnanců – vstupní i průběžná školení

• Školení administrátorů a osob odpovědných za kybernetickou bezpečnost

• Pravidla pro tvorbu hesel a rozvoj bezpečnostního povědomí

• Mechanismy kontroly a řešení porušení pravidel

4. Řešení kybernetických incidentů

• Nastavení procesu detekce a hlášení kybernetických událostí

• Posuzování a kategorizace incidentů

• Řešení incidentů podle stanovené metodiky

• Hlášení incidentů s významným dopadem Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB)

• Vypracování závěrečné zprávy o každém významném incidentu

Role vedení obce a zaměstnanců

Povinnosti vedení:

• Seznámit se s povinnostmi a zajišťovat dostupnost potřebných zdrojů.

• Pravidelně vyhodnocovat stav kybernetické bezpečnosti.

Lidské zdroje:

• Školení zaměstnanců a správců systémů v oblasti bezpečnosti.

• Nastavení pravidel bezpečného chování a kontroly jejich dodržování.

Co zahrnuje bezpečnostní dokumentace?

Každá obec musí zpracovat a udržovat sadu dokumentů, např.:

• Politiku kybernetické bezpečnosti

• Pravidla pro lidské zdroje, přístupy, sítě a aplikace

• Evidenci IT aktiv

• Plán obnovy

• Závěrečné zprávy o incidentech

Kde najít podporu a návody

NÚKIB připravil materiál „Kybernetická bezpečnost obcí“ a sekci často kladených otázek, které obcím pomohou se zorientovat a správně implementovat všechny požadavky zákona. Doporučujeme tyto materiály důkladně prostudovat a začít přípravy co nejdříve – včasná příprava znamená nižší riziko a lepší ochranu obecních systémů.

Jak na řízení kybernetické bezpečnosti?

📉Nástroj pro řešení požadavků nZoKB