Při kontrole ze strany Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) se firma nachází v pozici kontrolované osoby a její povinnosti se řídí Zákonem o kontrole (kontrolním řádem) a Zákonem o kybernetické bezpečnosti. Hlavní povinností firmy je poskytnout inspektorům plnou součinnost a prokázat, že plní veškerá zákonná bezpečnostní opatření.
Klíčové povinnosti firmy během kontroly NÚKIB:
- Umožnit vstup a přístup: Firma musí inspektorům zajistit přístup na pracoviště, k technickým zařízením, síťovým prvkům a do datových center.
- Předložit dokumentaci: Kontrolovaný subjekt musí předložit kompletní dokumentaci ke kybernetické bezpečnosti (např. analýzu rizik, bezpečnostní politiky, plány kontinuity činností).
- Poskytnout pravdivé informace: Všichni odpovědní zaměstnanci, zejména Manažer kybernetické bezpečnosti, musí odpovídat na dotazy a vysvětlit procesy.
- Umožnit testování: Inspektoři mohou vyžadovat nahlédnutí do nastavení systémů nebo ověření funkčnosti zabezpečení v praxi.
- Zajistit technické podmínky: Firma musí inspektorům poskytnout vhodné prostory pro práci a připojení (bude-li vyžadováno).
Co musí obsahovat dokumentace předložená při kontrole NÚKIB?
Dokumentace bezpečnosti ve firmě musí obsahovat důkazy splnění jednotlivých bodů. Obvykle firma zpřístupní souhrnný dokument a následně prokáže jednotlivé body.
- Governance a politika kybernetické bezpečnosti
- Řízení aktiv (Seznam klíčových aktiv)
- Řízení rizik (metodika a hodnocení rizik ve firmě)
- Řízení přístupu a identita )Jak firma řídí přístup k datům a informacím)
- Technická bezpečnost (Sítě, šifrování – tedy jak je technicky zajištěn přenos).
- Kryptografická opatření
- Řízení IT provozu (jak je řešena běžná údržba IT).
- Bezpečnost dodavatelského řetězce (jak jsou řešené nakupované služby).
- Lidský faktor a osvěta
- Incident management
- Obnova a kontinuita (Jak se vrátit do normálu po incidentu).
- Interní audit a nápravná opatření