Máte jasno, že jste regulovaným subjektem podle nového zákona o kybernetické bezpečnosti? Pak přichází na řadu praktický krok – ohlášení regulovaných služeb na Portálu NÚKIB. Jak na to a co vás při registraci čeká?
V souvislosti s novým zákonem o kybernetické bezpečnosti (ZoKB) byl spuštěn také nový portál Národního úřadu pro kybernetickou a informační bezpečnost (Portál NÚKIB). Jde o důležitý nástroj pro všechny organizace, které jsou jako poskytovatelé regulovaných služeb subjektem nového zákona. Prostřednictvím Portálu NÚKIB se poskytovatelé regulovaných služeb nejen registrují, ale následně například také nahlašují kybernetické incidenty. Naleznete tam také podpůrné materiály k problematice informační a kybernetické bezpečnosti. Úvodní stránka portálu nabízí také kalkulačku, která vám pomůže orientačně zjistit, zdali je vaše organizace regulovaným subjektem a pokud ano, tak jestli v režimu vyšších nebo nižších povinností.
Registrace společnosti na Portálu NÚKIB
Krok 1: Pověření zástupce
Prvním krokem je rozhodnout, kdo bude za organizaci regulované služby ohlašovat. Statutární orgán může regulované služby ohlásit sám, nebo k tomu může pověřit zástupce, který následně ohlášení provede (což je obecně preferovaná varianta).
Proces pověření je snadný. Statutár se přihlásí na portál přes svou identitu občana (Bankovní identita, Mobilní klíč eGovernmentu, mojeID a další), zvolí příslušnou společnost a následně zadá údaje zástupce (jméno, příjmení, e-mail a číslo dokladu totožnosti – občanský průkaz, pas, atp.). Tomuto zástupci přijde potvrzovací e-mail a následně může po vlastním přihlášení ihned začít ohlašovat regulované služby.
NÚKIB doporučuje z důvodu zastupitelnosti pověřit minimálně dvě osoby. Ideálně by jedním ze zástupců měl být manažer kybernetické bezpečnosti, případně kdokoliv z oddělení IT nebo jiná osoba odpovědná za kybernetickou bezpečnost v organizaci.
Krok 2: Ohlášení regulovaných služeb
Pro ohlášení regulované služby jsou nutné základní údaje o společnosti jako počet zaměstnanců, roční obrat v milionech eur a bilanční suma roční rozvahy také v milionech eur. Dále si připravte seznam všech regulovaných služeb, které poskytujete, rozsah veřejných IP adres a používaná doménová jména.
Každá regulovaná služba musí mít svoji kontaktní osobu. Může to být pověřený zástupce, manažer kybernetické bezpečnosti, garant konkrétní služby nebo aktiva či kdokoli jiný odpovědný za danou oblast. Každá služba může mít jinou kontaktní osobu, což dává smysl zejména u větších organizací, kde různé služby spravují různá oddělení.
Pokud firma poskytuje více regulovaných služeb, je nutné pro každou z nich vyplnit samostatný formulář. Začíná se v takzvané kalkulačce regulace, kde vyberete odvětví průmyslu – například energetika, zdravotnictví nebo digitální služby – a pak konkrétní službu jako výroba elektřiny, nemocniční péče nebo poskytování DNS služeb.
U některých služeb musíte zadat ještě doplňující údaje. Například u výroby elektřiny se uvádí, jestli jde o obnovitelné zdroje s výkonem do jednoho megawattu – v tom případě se na vás regulovaná služba výroby elektřiny nevztahuje. Dále se zjišťuje, jestli má podnik licenci na výrobu elektřiny. Na základě těchto údajů systém sdělí, zdali je firma v režimu vyšších nebo nižších povinností.
Poslední částí formuláře jsou doplňující technické údaje. Tady zadáváte rozsah veřejných IP adres používaných pro regulovanou službu a používaná doménová jména. Důležité je uvést pouze údaje relevantní k dané regulované službě. V případě velkého množství IP adres a domén je tedy nutné pečlivě zvážit, které z nich skutečně souvisejí s ohlašovanou službou.
Zákon dává možnost technické údaje nevyplnit hned, ale do 30 dní od doručení rozhodnutí o registraci prostřednictvím Portálu NÚKIB.
Poskytovatelé digitálních služeb jako online tržiště, vyhledávače, cloudové služby, DNS servery nebo registrace domén musí při ohlášení vyplnit ještě další údaje. Ty slouží pro agenturu ENISA, evropský orgán pro kybernetickou bezpečnost. Jde například o informace, zdali je hlavní provozovna v jiném členském státě EU a kde konkrétně jsou služby poskytovány.
Po odeslání formuláře se všemi ohlášenými službami NÚKIB údaje zpracuje a následně doručí rozhodnutí o registraci. Tímto okamžikem začíná běžet roční lhůta na zavedení všech bezpečnostních opatření vyžadovaných ZoKB.
Řešte problémy hned
Registraci na Portálu NÚKIB a ohlášení regulovaných služeb je nutné provést do 31. prosince 2025. Následující roční lhůta (od zmíněného rozhodnutí) se může jevit jako dostatek času, ale změny v kybernetickém zabezpečení se zpravidla neodehrají ze dne na den. Navíc můžete narazit na celou řadu problémů, jejichž řešení bude vyžadovat mnohem více času a kapacit, než jste původně předpokládali.
Začněte proto co nejdříve. Prvním krokem by měla být analýza současného stavu. Začněte s identifikací primárních aktiv, které souvisí s regulovanou službou. Dále lze pracovat na přípravě požadované dokumentace, jako jsou politiky, směrnice a plány. A rozhodně je nutné začít plánovat technická opatření – co bude nutné implementovat a v jakém pořadí.
Jak vám může SoftwareOne pomoci?
Registrace na Portálu NÚKIB je jen začátek dlouhé cesty. Následuje roční maraton zavádění bezpečnostních opatření, tvorby dokumentace a změny procesů napříč celou organizací. SoftwareOne vám může pomoci během všech nezbytných kroků.
Nejste si jistí svým statusem?
Mnoho organizací si není jistých, jestli jsou regulovaným subjektem. Naši konzultanti provedou důkladné posouzení vaší situace. Projdou všechny vaše činnosti včetně vedlejších, které se často přehlížejí. Určí, jestli poskytujete regulovanou službu, a pokud ano, doporučí správné zařazení do režimu vyšších či nižších povinností. V případě holdingových struktur vám pomohou se zjištěním velikosti podniku, což může být překvapivě složité.
Praktická pomoc s registrací
Ani registraci na Portálu NÚKIB nemusíte řešit úplně sami. Vyplníme formuláře společně s vámi, abyste měli jistotu, že je vše správně. Pomůžeme vám připravit technické údaje pro jednotlivé služby, což může být časově náročné. Poradíme také s výběrem kontaktních osob – koho a v jaké roli uvést.
GAP analýza: Kde jste a co vám chybí?
Po registraci potřebujete zjistit, co všechno je nutné během následující roční lhůty splnit. Provedeme porovnání současného stavu, kde zjistíme, jaké procesy, nástroje a dokumentaci už máte zavedené, s požadavky vyhlášky o bezpečnostních opatřeních.Na základě zjištění z GAP analýzy vytvoříme plán implementace, který jasně řekne, co dělat jako první a co může počkat.
Bezpečnostní dokumentace na míru
Vyhlášky vyžadují také rozsáhlou dokumentaci: strategii kybernetické bezpečnosti, politiky a směrnice podle jednotlivých opatření, plány kontinuity a obnovy, postupy při řešení incidentů i různé evidence (aktiv, rizik, dodavatelů atd.). Vytvoříme proto dokumentaci na míru vaší organizaci v podobě skutečně použitelných dokumentů, které budou reflektovat vaše prostředí a procesy.
Kyberbezpečnost v praxi
Dokumentace je jen začátek. Pomůžeme vám nastavit skutečně fungující procesy řízení rizik, incidentů a změn. Zaškolíme vaše zaměstnance od managementu po koncové uživatele. A připravíme vás také na audity kybernetické bezpečnosti, které vás pravděpodobně potkají .
Outsourcing povinných rolí
Zákon vyžaduje konkrétní role, pro které ale podniky často nemohou sehnat kvalifikované specialisty. Některé z těchto rolí, jako je například manažera kybernetické bezpečnosti, lze ovšem outsourcovat na naše konzultanty. A s certifikací ISO 27001 Lead Auditor můžeme být také vašimi interními auditory kybernetické bezpečnosti.
Řízení významných dodavatelů
Pomůžeme vám identifikovat, kdo má skutečný vliv na vaši kybernetickou bezpečnost. Připravíme bezpečnostní dodatky ke smlouvám a nastavíme proces hodnocení dodavatelů, který skutečně pomůže řídit rizika. Rovněž můžeme provádět audity vašich dodavatelů.
Technická řešení, která dávají smysl
Díky nejvyšší úrovni partnerství se společností Microsoft máme bohaté zkušenosti s implementací nástrojů jako Microsoft Defender pro komplexní ochranu koncových bodů, SIEM řešení Microsoft Sentinel pro monitoring a detekci, Azure Security pro zabezpečení cloudové infrastruktury, Microsoft Purview pro ochranu a klasifikaci dat a Intune pro správu zařízení a aplikací. Nesoustředíme se ale jen na produkty Microsoftu, takže vám naši konzultanti mohou pomoci i s výběrem a implementací řešení od dalších dodavatelů v oblasti kybernetické bezpečnosti nebo asset managementu.
Chcete s jistotou postupovat správně?
Splnění požadavků nového zákona o kybernetické bezpečnosti je časově i procesně náročné, navíc vyžaduje hluboké technické znalosti. Spojte se s námi a my vás celým procesem provedeme – od registrace na Portálu NÚKIB až po úspěšné splnění všech požadavků zákona. A především vám pomůžeme skutečně zvýšit úroveň vaší kybernetické bezpečnosti, nikoli jen formálně splnit požadavky regulace.
Proč SoftwareOne?
- Jsme experty v oblasti organizační i technické bezpečnosti.
- Pomůžeme vám s procesní bezpečností a doporučíme nejvhodnější technologie pro zabezpečení vaší organizace.
- Naše portfolio zohledňuje Zákon o kybernetické bezpečnosti (ZoKB), NIS2, DORA, GDPR, ISO normy, cloudové služby a další.
- Víme, co se chystá – sledujeme legislativu a nejnovější trendy na poli bezpečnostních technologií.
- Dodáváme řešení, které pro vás bude dlouhodobě užitečné, ne pouze pro jednorázové splnění požadavků.
- Poskytujeme služby srozumitelnou formou a na míru vaší organizaci.
Objevte naše služby pro komplexní řešení kyberbezpečnosti.
ČAS BĚŽÍ: Neohlásili jste ještě regulovanou službu a potřebujete pomoci?
Konec termínu pro ohlášení regulovaných služeb se blíží, obraťte se na SoftwareOne a stihněte vše v řádné lhůtě do konce roku 2025!
ČAS BĚŽÍ: Neohlásili jste ještě regulovanou službu a potřebujete pomoci?
Konec termínu pro ohlášení regulovaných služeb se blíží, obraťte se na SoftwareOne a stihněte vše v řádné lhůtě do konce roku 2025!
Autor
