Legislativa - Kybernetická bezpečnost

Při realizaci certifikačních auditů postupujeme dle níže uvedených právních předpisů. Kromě národní a evropské legislativy jsou pro nás důležité příklady dobré praxe, i včetně příkladů pochybení právnických i fyzických osob, které máme k dispozici ze strany kontrolních orgánů. Získejte certifikaci a rádi Vám sdělíme více informací.

7 nejčastějších nedostatků u organizací v oblasti kybernetické bezpečnosti

1. Organizace nepřijala bezpečnostní standardy a nemá zpracovanou bezpečnostní dokumentaci dle pokynů NUKIB.

2. Není pravidelně prováděn audit kybernetické bezpečnosti, včetně penetračních testů, zpracována analýza rizik a její revize v souvislosti s nastavením bezpečnostních opatření i ve vztahu k ochraně osobních údajů.

3. Není vedena kniha bezpečnostních incidentů a zpracována metodika pro ohlášení bezpečnostních incidentů pro ÚOOU a NUKIB.

4. Externí poskytovatelé služeb nespolupracují s pověřencem pro ochranu osobních údajů při nastavení systémů. 

5. Neprobíhá dostatečné testování webových a mobilních aplikací a SW s možností hackerského útoku a úniku osobních údajů. Nedostatky v oblasti smluvních vztahů u využití cloudových služeb a digitalizace dokumentů.

6. Nedostatečná kontrola účinnosti antivirové ochrany a licencí.

7. Neprovádí se pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti (bezpečná práce na internetu a počítačové síti, identifikace hackerského útoku, likvidace dat apod.). 

Úřad pro ochranu osobních údajů při výkonu kontroly může uložit pokutu až do výše 500 000,- Kč dle správního řádu právnické osobě, která si neplní povinnosti vyplývající z legislativy nebo chybného nastavení zabezpečení a zpracování osobních údajů.

Zákonné předpisy

► Zákon č. 181/2014 Sb. o kybernetické bezpečnosti Schválené pokyny Evropského sboru pro ochranu osobních údajů (dříve Pracovní skupina WP29)

► Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Směrnice NIS)

► Vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)

► Vyhláška č. 316/2014 Sb., o kybernetické bezpečnosti

► Zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů

► Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích

► Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury

► Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

► Schválené pokyny Evropského sboru pro ochranu osobních údajů (dříve Pracovní skupina WP29)

► a další