Vyberte stránku

riscare

vše pro informační bezpečnost vaší organizace

Jakou hodnotu
mají firemní data?

Internet a online prostředí se dnes staly základním kamenem pro fungování většiny firem. S rostoucí digitalizací se stále více hodnoty přesouvá do oblasti dat, která dnes představují klíčová aktiva pro jakoukoli organizaci.

Ačkoliv je digitální prostředí neocenitelným nástrojem pro podnikání, přináší s sebou i velké výzvy a rizika. Nejen že se firmy musí chránit před kybernetickými útoky, ale stále častěji čelí i vnitřním hrozbám, jako je zneužití dat vlastními zaměstnanci, nebo technickým selháním, které může ohrozit bezpečnost dat.

Vše je na internetu a online.

Hodnota firemních dat roste.
Kde je majetek, je i trestná činnost.
Počet kybernetických útoků roste.
Objasněnost je bohužel mizivá.

Jak se chránit?

Pro všechny, kteří mají co ztratit, je důležité si uvědomit, že každá z těchto hrozeb – zneužití dat zaměstnanci, technické selhání i kybernetické útoky – může vážně ohrozit bezpečnost a integritu firemních dat. Kybernetické útoky, vnitřní hrozby i technické problémy mají jednu společnou věc: mohou vést k vážným důsledkům, pokud firma nemá správně nastavené ochranné mechanismy.

Pokud jste majitel nebo manažer firmy, nebo máte v týmu kolegy a zaměstnance, kteří pracují s citlivými informacemi, měli byste se aktivně zaměřit na prevenci a ochranu. Vhodně nastavené procesy, školení pro zaměstnance, pravidelný audit přístupových práv, a samozřejmě kvalitní technická infrastruktura jsou klíčem k ochraně před těmito hrozbami.

Jakou hodnotu mají právě ta vaše data?

Proč jste i vy přitažlivým cílem?

Jste majitel nebo manager firmy?

Máte kolegy, zaměstnance?

Uchováváte data na počítačích, serverech či cloudu?

Informace pro bezpečný pohyb v digitálním prostředí

Každý týden vám přinášíme čerstvé a důležité informace s aktuálními zprávami z oblasti osobní bezpečnosti v digitálním prostředí, novinkami v oblasti zabezpečení a důležitými tipy, jak se efektivně chránit. 

Nové normy, vyšší rizika

Možná si už uvědomujete rizika spojená s ochranou vašich firemních dat v kyberprostoru a nebo jen potřebujete plnit povinnosti vyplývající z implementace směrnice DORA jejímž cílem je zvyšovat provozní odolnost finančního sektoru nebo novely Zákona o kybernetické bezpečnosti implementující směrnici NIS2.

A také již asi víte, že se nejedná pouze o formální právní předpisy, ale ucelený systém zvyšování kybernetické odolnosti napříč celou EU. Za nedodržení povinností je nově i osobní odpovědnost vrcholového managementu a také postih až ve výši 10 mil. € nebo 2 % obratu (záleží, co je vyšší)

Zvládnete to sami,
nebo to chcete na někoho hodit?

Přehoďte to na nás

riscare Review

Produkt vhodný k jednorázové revizi stavu kyberbezpečnosti a ochrany firemních dat v organizaci jako výchozí bod k realizaci dalších kroků vyplývajících z akčního plánu speciálně sestaveného pro vaši organizaci.

Za jednorázovou platbu získáte analýzu současného stavu poměřenou vůči standardům v oblasti bezpečnosti informací a kybernetické bezpečnosti včetně zahrnutí povinností vyplývajících z platné legislativy.

Zpráva přináší informace o klíčových aktivech organizace a rizicích, která je ohrožují. Následně navrhuje nezbytné kroky na plynulé a podnikání nenarušující zavedení zejména organizačních, ale i technických opatření.

Formou vstupní a výstupní videokonzultace od vás získáme veškeré potřebné informace nezbytné k vytvoření zprávy a akčního plánu, které vám následně odprezentujeme a navedeme vás na další nezbytné kroky.

Co pro vás uděláme

  • Provedeme screening digitálních aktiv organizace
  • Definujeme legislativní povinnosti ochrany dat v digitálním prostředí
  • Provedeme hodnocení organizačních a technických opatření
  • Stanovíme finanční kvantifikaci dopadů hrozeb a mimořádných událostí
  • Nastavíme akční plán realizace odpovídajících a přiměřených řešení

Pokud jste si již provedli vlastní analýzu nebo v návaznosti na akční plán prezentovaný v rámci riscare Review se sami rozhodnete, zdali zvládnete vše úplně sami a nebudete nás již potřebovat, nebo zvolíte riscare Lorenc mentoring, kde vás povedeme v souladu s akčním plánem a nebo na nás přehodíte úplně vše v rámci riscare Program a vše zajistíme my.

riscare Lorenc

Ať už jste se rozhodli věnovat bezpečnosti informací z legislativních důvodů nebo díky rostoucímu povědomí o jejím významu, budeme vám spolehlivým průvodcem na této cestě.

Nabízíme vám odborné vedení formou mentoringu, které vám pomůže správně nastavit interní procesy, implementovat nezbytná opatření a zajistit jejich dlouhodobé dodržování.

Budeme vaším partnerem na telefonu, rádcem i oporou v situacích, kdy si nebudete jisti dalším krokem. S námi získáte nejen znalosti, ale i jistotu, že bezpečnostní opatření ve vaší organizaci fungují efektivně a v souladu s platnými normami.

Co pro vás uděláme

  • Nejprve společně provedeme inventuru stavu vůči regulativním normám
  • Nastavíme harmonogram postupného zavádění požadovaných změn
  • Každý měsíc vám předáme seznam úkolů, které je nezbytné splnit
  • Formou video konzultace společně zrevidujeme postup v souladu s harmonogramem
  • Navedeme vás, jak co nejefektivněji využít best practices zkušeností.

Obsah služby

  1. příprava návrhu obsahu spolupráce
    • inventura stavu informační a kybernetické bezpečnosti ve vztahu k relevantním regulativním normám
    • stanovení priorit a harmonogramu, příprava doporučení k postupu a stanovení doporučených úkolů pro Objednatele;
  2. pravidelné konzultace v rozsahu 1x měsíčně
    • kontrola harmonogramu a plnění úkolů,
    • příprava doporučení dalšího postupu a úkolů,
    • poskytnutí informací o změnách regulativních standardů v oblasti kybernetické a informační bezpečnosti, trendech a známých incidentech,
    • konzultace dle požadavků a potřeb Objednatele,
Tato forma spolupráce – riscare LORENC – neobsahuje dodávku žádné ze zákonem stanovených interních směrnic či dalších podpůrných nástrojů, kybernetických testů a periodických vzdělávacích aktivit ani žádnou z rolí nezbytných k naplnění povinností z tohoto zákona vyplývajících.

riscare Program

All In One program, kde formou měsíčního předplatného získáváte vše, co je potřeba nejenom k naplnění povinností vyplývající z platné legislativy, ale i k praktickému využití ve vaší organizaci.

Nechte všechno na nás. Outsourcing legislativou požadovaných rolí vás osvobodí od hledání profesí, které na trhu práce nejsou nebo jsou neadekvátně nákladné.

Riscare Program vám za jedno měsíční předplatné dává k dispozici tým profesionálů s pomocí kterého vyřešíte veškeré potřeby v této oblasti.

Forma měsíčního předplatného má jasný dopad do ročních rozpočtů a je tak předvídatelným nákladem na komplexní pokrytí kybernetické bezpečnosti v organizaci.

Díky využití riscare Program vaše organizace obstojí před hrozbami z kyberprostoru a bude plně compliance vůči aktuálnímu znění legislativy a navazujících prováděcích předpisů.

Tato forma spolupráce – riscare PROGRAM – obsahuje vše nezbytné pro plnou compliance organizace s platnou legislativou, včetně outsourcingu nezbytných rolí. V ceně služby nejsou zahrnuty náklady na zavedení technických opatření.

Děláme jednoduše vše, co je potřeba

Pokud si přejete udělat jen revizi vaší současné situace, vyzkoušejte riscare review.

riscare Program DORA

Co je nařízení EU 2022/2554 (DORA)?
Digital Operational Resilience Act (DORA) je nařízení EU zaměřené na zajištění digitální provozní odolnosti finančního sektoru. Nařízení reaguje na rostoucí digitalizaci finančních služeb a zvyšující se kybernetické hrozby. DORA stanovuje povinnosti pro finanční instituce v oblasti prevence, detekce a reakce na IKT incidenty, aby se zajistila kontinuita poskytování finančních služeb i v případě narušení provozu; povinnosti jsou účinné od 17. 1. 2025.

Klíčové oblasti DORA

  1. Identifikace a řízení rizik
    Finanční instituce musí zavést robustní opatření pro identifikaci a řízení kybernetických rizik, včetně pravidelných analýz a testování odolnosti jejich systémů vůči kybernetickým hrozbám.
  2. Hlášení incidentů
    Subjekty mají povinnost hlásit významné kybernetické incidenty regulačním orgánům v předepsaných lhůtách. To umožní rychlou koordinaci a efektivní reakci na vzniklé hrozby.
  3. Zajištění kontinuity služeb
    DORA zavádí povinnost implementace plánů pro kontinuitu provozu a obnovu po kybernetických incidentech. Cílem je minimalizovat dobu výpadků a zajistit nepřetržitý provoz kritických finančních služeb.
  4. Spolupráce s IT poskytovateli
    Finanční instituce musí efektivně řídit vztahy s externími IT poskytovateli, kteří mají klíčovou roli v jejich operacích. To zahrnuje uzavírání smluvních ujednání a pravidelné hodnocení rizik spojených s těmito externími dodavateli.

Dopad na finanční sektor

DORA se týká širokého spektra finančních institucí a poskytovatelů finančních služeb. Mezi subjekty, na které se směrnice vztahuje, patří:

  • Banky, včetně komerčních, investičních a specializovaných institucí,
  • Pojišťovny a penzijní fondy,
  • Správci aktiv a investiční společnosti,
  • Platební instituce, včetně poskytovatelů elektronických peněz a platebních systémů,
  • Finanční trhy a depozitáři.

V České republice se směrnice DORA dotkne přibližně stovek organizací, včetně komerčních bank, pojišťoven, penzijních fondů a dalších organizací poskytujících finanční služby. Tento odhad vychází z analýz, které uvádějí, že nařízení DORA bude mít významný dopad na celý finanční sektor v ČR, včetně širokého spektra subjektů, které musí splnit požadavky na kybernetickou bezpečnost.

Co pro vás uděláme?

Výkon činností manažera informační bezpečnosti „CISO as a Service“

  • Odborné vedení systému řízení digitální provozní odolnosti bez nutnosti vlastního specialisty
  • Pravidelné vyhodnocování a aktualizaci bezpečnostní strategie
  • Zajištění kompatibility s měnícími se technickými standardy a změnami v oblasti regulace DORA

Plnění reporting povinnosti vůči regulátorovi ČNB

  • Vedení a aktualizace registru informací – IKT dodavatelů, včetně posouzení rizika a hodnověrnosti
  • Incident reporting a hlášení významných hrozeb
  • Vedení registru rizik

Řízení rizik v oblasti informačních a komunikačních technologií (IKT) – risk manager

  • Risk analýza (RA) a Business impact analýza (BIA) – každoročně / při podstatné změně před a po
  • Provedení a aktualizace identifikace a hodnocení aktiv
  • Využití online SW nástroje pro analýzu a evidenci rizik
  • Podpora při identifikaci rizik a stanovení míry tolerovaného rizika
  • Aktualizace opatření k mitigaci neakceptovatelných rizik

Řízení a hodnocení IKT dodavatelů – manager outsourcingu

  • Vedení politiky řízení IKT dodavatelů s důrazem na bezpečnostní požadavky
  • Aktualizace požadavků na smluvní vztahy v souladu s technickými standardy
  • Pravidelné hodnocení rizik spojených s dodavateli
  • Aktualizace registru informací o dodavatelích a součinnost při posuzování jejich spolehlivosti

Identifikace a hlášení bezpečnostních incidentů – incident manager

  • Aktualizace procesů pro rychlou identifikaci a eskalaci bezpečnostních událostí
  • Kontinuální monitoring bezpečnosti, detekce incidentů, hlášení, řešení

Penetrační testy a testy zranitelností

  • Každoroční penetrační test simulující reálné útoky hackerů na vaše systémy
  • Testování zranitelností podle nejnovějších metodik a standardů (přiměřeně dle TIBER-EU)
  • Podrobná zpráva s výsledky testování a doporučeními pro posílení bezpečnosti

Testy plánů reakce a obnovy

  • Každoroční test simulující reálnou obnovu obchodních funkcí nejen dle parametrů
    • RTO (recovery time objective) maximální přijatelný čas výpadku
    • RPO (recovery point objective) maximální přijatelné stáří dat po obnově

Pravidelná školení zaměstnanců

  • Praktická školení zaměřená na digitální provozní odolnost, kyber a informační bezpečnost
  • Workshopy a simulace phishingových útoků pro zvýšení povědomí zaměstnanců
  • Personalizované vzdělávací programy přizpůsobené specifickým potřebám organizace

Každoroční interní audit technických a organizačních opatření

  • Odborná podpora při implementaci nových technologií a bezpečnostních opatření
  • Individuální poradenství dle aktuálních požadavků a potřeb

Obsah služby

  1. vstupní revize systému řízení digitální provozní odolnosti:
    • analýza stavu systému řízení digitální provozní odolnosti
    • definice odchylek aktuálního stavu vůči požadavkům platného DORA regulativu
    • návrh harmonogramu provedení aktualizace/úprav a nezbytných kroků
    • definice požadavků na součinnost Objednatel
  2. průběžná aktualizace kompletní DORA dokumentace dle odsouhlaseného harmonogramu
    • strategie a politiky
    • technické směrnice
    • provozní záznamy
  3. převzetí a správa systému řízení rizika IKT
    • provedení pravidelného posouzení rizika
      • AR – analýza rizik
      • BIA – analýza dopadů
      • aktualizace identifikovaných aktiv
    • návrhy protiopatření – prohlášení o aplikovatelnosti
    • aktualizace plánu digitální provozní odolnosti
    • aktualizace přijetí a zdůvodnění tolerovaných rizik
  4. řízení rizika poskytovatelů IKT služeb z řad třetích stran
    • pravidelné posouzení rizika IKT dodavatelů
    • aktualizace a testování EXIT plánů
    • vedení registru informací
  5. incident management
    • převzetí odpovědnosti za detekci hrozeb a incidentů
    • řešení incidentů
  6. pravidelné testování
    • pravidelné testování plánů kontinuity činností a zachování provozu IKT jednou ročně
    • provedení penetračních testů jednou ročně
  7. audit
    • provedení auditu systému řízení digitální provozní odolnosti jednou ročně

Tato forma spolupráce – riscare PROGRAM – obsahuje vše nezbytné pro plnou compliance organizace s platnou legislativou, včetně outsourcingu nezbytných rolí. V ceně služby nejsou zahrnuty náklady na zavedení technických opatření.

Jsme držitelem bezpečnostní prověrky Národního bezpečnostního úřadu s číslem osvědčení 002736

Vše, co děláme je v souladu s algoritmy Národního úřadu pro kybernetickou a informační bezpečnost

riscare Program NIS2

Co je směrnice NIS2 (EU) 2022/2555?
Směrnice NIS2 implementovaná do české legislativy novelou zákona o kybernetické bezpečnosti č. 264/2025 Sb. stanoví povinnosti v oblasti kybernetické bezpečnosti pro vybrané subjekty. Reaguje na rostoucí digitalizaci a zvyšující se kybernetické hrozby napříč odvětvími. ZKB definuje kategorie subjektů jako essential a important, upravuje prevenci, detekci a reakci na kybernetické incidenty a usiluje o zajištění kontinuity poskytovaných služeb i v případě narušení provozu.

Klíčové oblasti a povinnosti NIS2

  1. Působnost a klasifikace subjektů
    Subjekty se zařazují dle odvětví a velikosti do kategorií essential (zásadní) a important (důležitá) entita s odlišným dohledem a rozsahy povinností.
  2. Regulovaná odvětví
    Působnost zahrnuje energetiku, dopravu, finance, zdravotnictví, vodní služby, digitální infrastrukturu a služby, veřejnou správu, poštovní a kurýrní služby, odpady, chemii, potravinářství, výzkum a vesmír.
  3. Řízení rizik a dokumentace
    Zavádí se systém řízení rizik, pravidelné hodnocení hrozeb a zranitelností, evidence aktiv a řízení přístupů, s průběžnou aktualizací bezpečnostní dokumentace.
  4. Minimální bezpečnostní opatření
    Zahrnují řízení incidentů, kontinuitu a obnovu, bezpečnost dodavatelů, testování a audit, řízení zranitelností a patchování, šifrování, vícefaktorové ověřování (MFA) a segmentaci sítě.
  5. Hlášení kybernetických incidentů
    Nastaven je postup včasného varování, následné a závěrečné zprávy, včetně interní eskalace, koordinace nápravy a uchování důkazních informací.
  6. Kontinuita činností a obnova
    Plány kontinuity a obnovy s parametry dostupnosti a obnovy (např. RTO, RPO) se udržují a testují pro minimalizaci dopadů výpadků a udržení kritických funkcí.
  7. Odpovědnost vedení a dodavatelský řetězec
    Vedení schvaluje opatření, dohlíží na plnění a zajišťuje zdroje; v dodavatelských vztazích se stanovují bezpečnostní požadavky ve smlouvách, hodnotí rizika poskytovatelů a u kritických dodavatelů se uplatňuje posílený dohled.

Kdo bude směrnicí NIS2 ovlivněn?

NIS2 má široký dosah a týká se klíčových organizací napříč celou EU. Mezi hlavní subjekty, které směrnice zahrnuje, patří:

  • Energetické společnosti (např. dodavatelé elektřiny, plynu, vodních a jaderných elektráren),
  • Zdravotnické instituce, včetně nemocnic, zdravotnických zařízení a poskytovatelů zdravotnických služeb,
  • Dopravní sektory, včetně letecké, železniční, námořní a silniční dopravy,
  • ICT a digitální infrastruktura, včetně poskytovatelů cloudových služeb a datových center,
  • Veřejná správa a lokální vlády, které spravují kritickou infrastrukturu a poskytují základní služby,
  • Dodavatelské řetězce v klíčových průmyslových odvětvích (např. potravinářství, telekomunikace).

V České republice se směrnice NIS2 dotkne vyšších tisíců organizací, což zahrnuje široké spektrum subjektů z kritických sektorů, rozlišuje dvě úrovně – vyšší a nižší. Tento odhad vychází z analýz Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), který uvádí, že NIS2 ovlivní přibližně 6 000 organizací, včetně nejen velkých společností v energetice, zdravotnictví a dopravě, ale také menších podniků, ICT poskytovatelů, veřejných institucí a dalších organizací, které mají přímý vliv na fungování kritické infrastruktury.

Co pro vás uděláme?

Ustavení systému řízení kybernetické a informační bezpečnosti

  • Definicí bezpečnostních rolí, jejich odpovědností a kompetencí
  • Vytvoření organizační struktury odpovídající současným bezpečnostním standardům
  • Ustavení systému řízené dokumentace

Výkon činností architekta a manažera kybernetické bezpečnosti „CISO as a Service“

  • Návrh architektury systému řízení kybernetické bezpečnosti
  • Odborné vedení systému řízení kybernetické bezpečnosti bez nutnosti vlastního specialisty
  • Pravidelné vyhodnocování a aktualizaci bezpečnostní strategie
  • Dohled nad bezpečnostními opatřeními, školeními a řízením rizik

Příprava strategie kybernetické bezpečnosti

  • Vytvořením komplexní strategie přizpůsobené rozsahu podnikání.
  • Nastavením bezpečnostních politik a směrnic odpovídajících regulatorním požadavkům.

Řízení rizik v oblasti informačních a komunikačních technologií (IKT)

  • Provedení podrobné analýzy rizik a identifikace rizik, stanovení míry akceptovatelného rizika
  • Pomoc s vytvořením a vedením registru aktiv, vazeb mezi nimi a rizik
  • Návrh opatření k mitigaci neakceptovatelných rizik

Příprava a implementace bezpečnostních opatření

  • Návrh a implementace organizačních doporučení vhodných technických opatření
  • Příprava nezbytných interních směrnic a bezpečnostních politik a jejich implementace
  • Zajištění souladu s regulatorními požadavky a doporučeními

Řízení a hodnocení IKT dodavatelů

  • Nastavení politiky řízení IKT dodavatelů s důrazem na bezpečnostní požadavky
  • Příprava požadavků na smluvní vztahy v souladu s technickými standardy
  • Pravidelné hodnocení rizik spojených s dodavateli

Penetrační testy a testy zranitelností

  • Penetrační testy simulující reálné útoky hackerů na vaše systémy
  • Testování zranitelností podle nejnovějších metodik a standardů
  • Podrobná zpráva s výsledky testování a doporučeními pro posílení bezpečnosti

Identifikace a hlášení bezpečnostních incidentů

  • Nastavení procesů pro rychlou identifikaci a eskalaci bezpečnostních událostí
  • Návrh na implementaci nástrojů pro monitoring a detekci anomálií
  • Příprava postupu pro hlášení incidentů regulátorům a dalším relevantním subjektům

Pravidelná školení zaměstnanců

  • Praktická školení zaměřená na kybernetickou a informační bezpečnost
  • Workshopy a simulace phishingových útoků pro zvýšení povědomí zaměstnanců
  • Personalizované vzdělávací programy přizpůsobené specifickým potřebám organizace

Ad hoc odborné konzultace

  • Individuální poradenství dle aktuálních požadavků a potřeb
  • Rychlá reakce na nové bezpečnostní hrozby a regulatorní změny
  • Odborná podpora při implementaci nových technologií a bezpečnostních opatření

Obsah služby

  1. příprava návrhu systému řízení informační a kybernetické bezpečnosti:
    • úvodní školení managementu o KB (v rozsahu cca 2 hodiny),
    • definice bezpečnostních rolí, jejich odpovědnosti a pravomocí, poskytnutí outsourcingu role Architekta KB, Manažera KB
    • provedení GAP stavu KB
    • sestavení harmonogramu projektu, jeho milníků a stanovení požadavků na dodatečnou součinnost Objednatele,
    • stanovení podpůrných procesů, zejména systému řízené dokumentace
  2. provedení posouzení rizik:
    • provedení posouzení rizik v oblasti KB dle požadavků regulativu a zejména s cílem navržení optimálních nezbytných organizačních a technických opatření,
    • návrh technických a organizačních opatření a návrh plánu jejich realizace
  3. zpracování bezpečnostní dokumentace a návrhu organizačních opatření dle požadavků ZKB a navazujících zákonných vyhlášek
  4. zpracování parametrů specifikací na technická opatření
  5. testování stavu kybernetické bezpečnosti:
    • provedení testování zranitelností jednou ročně

Tato forma spolupráce – riscare PROGRAM – obsahuje vše nezbytné pro plnou compliance organizace s platnou legislativou, včetně outsourcingu nezbytných rolí. V ceně služby nejsou zahrnuty náklady na zavedení technických opatření.