Stránky o kybernetické bezpečnosti

BESS - nižší vs. vyšší režim povinností

klíčové rozdíly a oblasti:

BESSnizsivyss

1. Organizační zajištění a role

V režimu nižších povinností není nutné jmenovat trojici bezpečnostních rolí (manažer, architekt, auditor).

  • Osoba pověřená kybernetickou bezpečností: Statutární orgán musí prokazatelně určit pouze jednu osobu odpovědnou za tuto oblast. Ta může být vybrána libovolně, často to bývá někdo z IT, ale musí mít odpovídající pravomoci k řízení a rozvoji bezpečnosti.
  • Povinné školení vedení: I v nižším režimu musí vrcholné vedení absolvovat povinné školení o bezpečnosti informací a řízení rizik.

2. Bezpečnostní opatření (podle vyhlášky č. 410/2025 Sb.)

Rozsah opatření je užší a zaměřuje se na zajištění minimální úrovně bezpečnosti.

  • Přehled bezpečnostních opatření: Firma musí vést dokument, ve kterém eviduje zavedená opatření, termíny pro ty plánovaná a zdůvodnění pro ta, která nezavádí. Tento přehled musí být alespoň jednou ročně aktualizován.
  • Technické požadavky: Musíte zajistit základní technické kontroly, jako je ochrana před škodlivým kódem (antivir), řízení přístupu k uživatelským účtům a segmentace sítě (oddělení provozního prostředí úložiště od administrativního).

3. Vztah k dodavatelům

Povinnosti při dodávce „na klíč“ jsou v tomto režimu o něco mírnější, ale stále podstatné:

  • Smluvní ujednání: Při uzavírání smlouvy je nutno zohlednit hrozby spojené s dodavatelem a zajistit, aby smlouva obsahovala relevantní požadavky na bezpečnost (např. pravidla pro likvidaci dat, dohled nad změnami nebo hlášení incidentů).
  • Bezpečnostní požadavky: Již při akvizici (nákupu) systému je nutno stanovit prakticky stejné bezpečnostní požadavky, které dodavatel musí splnit.
  • Akt o kybernetické odolnosti (CRA): Bez ohledu na režim poskytování reg. služby platí, že digitální produkty (BMS, střídače) by měly splňovat požadavky nařízení (EU) 2024/2847, aby měly co nejméně zranitelností.

4. Hlášení incidentů a registrace

  • Registrace: Postup na Portálu NÚKIB je stejný.
  • Hlášení incidentů: V režimu nižších povinností se incidenty nehlásí přímo Úřadu (NÚKIB), ale Národnímu CERT (sdružení CZ.NIC). Ale je to vlastně stejné.
  • Významnost incidentů: Povinnost hlásit se vztahuje pouze na incidenty s významným dopadem (závažné provozní narušení nebo finanční ztráty), přičemž významnost si posuzuje provozovatel na základě vlastní metodiky a únosné míry újmy.

5. Kontrola

  • V tomto režimu vykonává kontrolu nad plněním povinností rovněž NÚKIB.
  • Kontrolovat se bude zejména to zda,
    • je určena odpovědnou osobu,
    • probíhá školení vedení a
    • je vypracovaný a aktualizovaný přehled bezpečnostních opatření.

I v nižším režimu platí princip nákladové přiměřenosti – náklady na ochranu by neměly být vyšší než možné dopady útoku, ale bezpečnostní minimum stanovené vyhláškou musí být vždy funkční.

Back to Top