Jste připraveni na novou legislativu?

Orientace v legislativním prostředí je dnes nezbytným předpokladem pro zajištění digitální provozní odolnosti a efektivní ochrany digital goodwill každé moderní organizace.

Přinášíme vám proto strukturovaný přehled klíčových regulatorních rámců, které formují požadavky na bezpečnost informačních systémů a dat. Cílem této sekce je vysvětlit smysl a dopady jednotlivých norem tak, abyste v nich neviděli jen povinnost, ale především standardy nutné pro bezpečné fungování.

V návaznosti na dynamický vývoj evropského i českého práva zde naleznete aktuální informace o nařízeních DORA, ZKB implementující směrnici NIS2, GDPR i standardech ISO. Tyto informace vám poslouží jako základní kompas pro správné nastavení vašich interních procesů a strategií

DORA

Digital Operational Resilience Act – Nařízení EU o digitální provozní odolnosti finančního sektoru

DORA představuje zásadní milník v přístupu k bezpečnosti finančního trhu, kdy se pozornost regulátora přesouvá z prosté finanční stability i na stabilitu technologickou. Toto nařízení sjednocuje pravidla napříč celou EU a zavádí povinnost vnímat digitální odolnost jako nedílnou součást firemní DNA, nikoliv jen jako technickou disciplínu IT oddělení. Cílem je zajistit, aby finanční systém ustál i masivní kybernetické útoky bez dopadu na klienty a ekonomiku.

Koho se týká

Regulace dopadá na téměř celý finanční ekosystém – od tradičních bank a pojišťoven přes investiční společnosti a obchodníky s cennými papíry až po poskytovatele kryptoaktiv.

Zásadní novinkou je přímý dopad na kritické ICT dodavatele (např. cloudové služby), kteří se stávají součástí regulovaného prostředí, protože na jejich spolehlivosti závisí fungování finančních institucí.

Klíčové oblasti a povinnosti

  • Řízení ICT rizik:
    Organizace musí mít detailně zmapovaná svá aktiva, závislosti a rizika. Nejde o „papírovou“ compliance, ale o živý systém, který reaguje na změny v hrozbách.
  • Hlášení incidentů:
    Zavádí se přísná pravidla pro klasifikaci a rychlé hlášení významných incidentů regulátorovi. Důraz je kladen na rychlost reakce a minimalizaci škod.
  • Testování odolnosti:
    Kromě běžných testů zavádí DORA pro významné subjekty povinnost pokročilého penetračního testování (TLPT) zaměřeného na reálné scénáře útoků (Red Teaming).
  • Řízení rizika třetích stran:
    Finanční instituce nesou plnou odpovědnost za svá data i u dodavatelů. Musí revidovat smlouvy, monitorovat úroveň služeb a mít připravenou exit strategii pro případ selhání dodavatele.

Jsme držitelem bezpečnostní prověrky Národního bezpečnostního úřadu s číslem osvědčení 002736

Vše, co děláme je v souladu s algoritmy Národního úřadu pro kybernetickou a informační bezpečnost

ZKB (NIS2)

Zákon o kybernetické bezpečnosti – Implementace evropské směrnice NIS2 do českého práva

Nový zákon o kybernetické bezpečnosti (nZKB) vycházející ze směrnice NIS2 představuje největší rozšíření regulace kybernetické bezpečnosti v historii. Reaguje na fakt, že digitální technologie prostupují všemi aspekty našeho života, a proto musí být bezpečné nejen elektrárny, ale i nemocnice, výrobci potravin, dopravci nebo odpadové hospodářství. Zákon nutí organizace přestat přehlížet kybernetická rizika a začít je aktivně řídit.

Koho se týká

Okruh regulovaných subjektů se dramaticky rozšiřuje na tisíce organizací. Klíčovým kritériem již není jen sektor podnikání, ale také velikost organizace (zpravidla střední a velké podniky).

Zákon dopadá na subjekty, které jsou důležité pro fungování společnosti a ekonomiky – od výroby a energetiky přes digitální infrastrukturu až po veřejnou správu.

Klíčové oblasti a povinnosti

Základem je povinnost „samoidentifikace“ a registrace. Následně musí organizace zavést systém řízení bezpečnosti informací (ISMS), provádět analýzu rizik, školit vedení i zaměstnance a zajistit bezpečnost dodavatelského řetězce.

Statutární orgány nově nesou přímou osobní odpovědnost za zajištění kybernetické bezpečnosti.

Dva režimy povinností

Zákon rozlišuje přísnost požadavků podle důležitosti služby:

  • Režim vyšších povinností (Essential): 
    Pro kritickou infrastrukturu a strategicky nejvýznamnější subjekty. Vyžaduje robustní bezpečnostní opatření, pravidelné audity a proaktivní spolupráci s NÚKIB.
  • Režim nižších povinností (Important): 
    Pro většinu nově regulovaných subjektů. Zaměřuje se na racionální řízení rizik, zavádění přiměřených opatření a povinnost hlásit incidenty.

 

GDPR

General Data Protection Regulation – Obecné nařízení o ochraně osobních údajů

GDPR není jen o „sušenkách“ na webu, ale představuje základní listinu práv občanů v digitálním věku. Definuje pravidla hry pro nakládání s tím nejcennějším aktivem digitální ekonomiky – osobními údaji. Pro organizace znamená nutnost respektovat soukromí klientů a zaměstnanců nikoliv jako volitelný benefit, ale jako základní parametr jakékoliv služby či produktu. Správně uchopené GDPR je dnes klíčovým prvkem budování důvěry a digital goodwill.

Koho se týká

Povinnosti dopadají na každého, kdo jakýmkoliv způsobem shromažďuje nebo zpracovává data o fyzických osobách v EU.

Nerozhoduje velikost firmy ani sídlo, ale fakt, že pracujete s daty Evropanů. Týká se jak správců, kteří určují účel zpracování, tak zpracovatelů, kteří s daty technicky manipulují.

Klíčové oblasti a povinnosti

  •  Zákonnost a transparentnost: 
    Data lze sbírat jen na základě jasného právního titulu (např. souhlas, smlouva, zákon) a subjekt musí vědět, co se s jeho daty děje.
  • Práva subjektů: 
    Lidé mají právo vědět, co o nich vedete, žádat opravu, výmaz („právo být zapomenut“) nebo přenos dat jinam. Organizace musí být schopna těmto žádostem vyhovět.
  • Bezpečnost dat: 
    GDPR vyžaduje technické a organizační zabezpečení dat adekvátní riziku. Únik dat není jen bezpečnostní incident, ale potenciální porušení lidských práv, které se musí hlásit úřadu a často i dotčeným osobám.
  • Odpovědnost: 
    Organizace musí být schopna kdykoliv doložit, že pravidla dodržuje (princip Accountability).

 

ISO 27000

Rodina norem pro řízení informační bezpečnosti – Mezinárodní standard pro systém řízení bezpečnosti informací (ISMS)

Zatímco zákony a nařízení stanovují „co“ musíte splnit, normy ISO rodiny 27000 vám dávají návod „jak“ to udělat efektivně a systematicky. ISO 27001 je celosvětově uznávaný zlatý standard, který prokazuje, že vaše organizace neřeší bezpečnost nahodile, ale má zavedený funkční systém řízení rizik. Certifikace podle této normy je nejlepším důkazem pro vaše partnery, že to s ochranou digital goodwill myslíte vážně.

Proč implementovat ISO 27001

Norma je univerzální a použitelná pro jakoukoliv organizaci. Její zavedení přináší řád do procesů, jasné definování odpovědností a měřitelné výsledky. Často slouží jako efektivní nástroj pro splnění požadavků legislativy (NIS2, DORA, GDPR), protože principy řízení rizik a bezpečnosti jsou v nich společné.

Klíčové principy

  • Řízení rizik: 
    Bezpečnost není o nákupu nejdražšího firewallu, ale o identifikaci toho, co je pro vás cenné, a adekvátní ochraně těchto aktiv.
  • PDCA cyklus: 
    Systém není jednorázový projekt, ale nekonečný cyklus (Plan-Do-Check-Act) neustálého zlepšování a reakce na nové hrozby.
  • Komplexní přístup: 
    Bezpečnost dle ISO stojí na třech pilířích – Lidé, Procesy a Technologie. Nelze opomenout ani fyzickou bezpečnost či právní aspekty.
  • Důvěra: 
    Certifikát vydaný nezávislým auditorem je silným marketingovým a obchodním argumentem, který otevírá dveře k zakázkám vyžadujícím vysokou garanci bezpečnosti.