FAQ
Průmysl
Kromě výše zmíněného souladu s legislativními předpisy, nabízí certifikace i další prokazatelné výhody např.:
- Prokazatelná schopnost řízení kybernetické bezpečnosti pro partnery v rámci dodavatelského řetězce
- Vylepšené zabezpečení procesů, produktů a služeb
- Vylepšená reakce na incidenty a řízení rizik
- Skvělá pověst firmy a důvěra zákazníků
- Větší konkurenceschopnost na zahraničních trzích
Pro většinu výše uvedených evropských směrnic a nařízení jsou normy IEC 62443 a ETSI EN 303 645 uváděny jakou dostačující pro plnění většiny požadavků na kybernetickou bezpečnost v této oblasti. Zavedením a následnou certifikací dle těchto standardů tedy zabezpečíte, že Vaše společnost bude splňovat současné, ale i v budoucnu platné legislativní požadavky na kybernetickou bezpečnost.
Obecně lze říci, že zlom nastane s příchodem NIS2, na základě, které bude v České republice novelizován Zákon o kybernetické bezpečnosti. Toto by mělo nastat ve druhé polovině roku 2024, přičemž ostatní evropské směrnice budou pozvolna navazovat.
Normy: IEC 62443, ETSI EN 303 645
Legislativa: RED, CSA, NIS2, GDPR, AIA, CRA
Státní správa
Novela Zákona o kybernetické bezpečnosti vznikla na základě směrnice Evropského parlamentu a Rady tzv. NIS2 a by měla vstoupit v platnost ve druhé polovině roku 2024. Nejzásadnějším bodem novely Zákona o kybernetické bezpečnosti je fakt, že se nově bude rozšiřovat jeho působnost, která se bude týkat minimálně 6.000 subjektů. Více informací k tomuto tématu naleznete na stránkách NUKIB : Nová směrnice EU o bezpečnosti sítí a informací (nukib.cz)
Zdravotnictví
V tomto ohledu se IEC 62443 zabývá také vztahem s organizacemi poskytujícími zdravotní péči (HDO), které sdílejí odpovědnost za kybernetickou bezpečnost s výrobci. Cílem je například zajistit, aby provozovatelé IT měli dostatek informací o bezpečném provozu výrobků od výrobců.
Operátoři musí například okamžitě informovat výrobce o problémech se zabezpečením IT, aby mohli spolupracovat na rychlém nalezení řešení.
Kromě výše zmíněného souladu s legislativními předpisy, nabízí certifikace i další prokazatelné výhody např.:
- Vylepšené zabezpečení zařízení, systémů nebo služeb
- Vylepšená reakce na incidenty a řízení rizik
- Skvělá pověst firmy a důvěra zákazníků
- Větší konkurenceschopnost na zahraničních trzích
- Posílená spolupráce s poskytovateli zdravotní péče
IEC 81001-5-1 se zaměřuje na výrobce „zdravotnického softwaru“. To nezahrnuje pouze zdravotnické prostředky, ale také další software používaný ve zdravotnictví. EU v současné době plánuje harmonizovat IEC 81001-5-1 se současným cílovým datem květen 2024.
Normy: IEC 62443, IEC 81001-5-1, IEC 80001-1, IEC/TR 80001-2-x, IEC/TR 60601-4-5; IEC 62304; IEC 82304
Legislativa: MDR, NIS2, GDPR, CSA
Nezařazené
Na oblast informačních systémů se vztahují normy ČSN ISO/IEC 27001 (ISMS) – certifikace managementu bezpečnosti informací (informačních systémů) –
a ČSN ISO/IEC 20000-1 – managementu bezpečnosti informací (informačních systémů).
Mezi nejčastější příčiny zranitelností IS řadíme zejména:
- Nedodržování platných standardů (RFC, W3C, ISO).
- Nedůsledná konfigurace zařízení (povoleny zbytečné/nevyužité síťové služby, slabé šifrování).
- Nevyhovující topologie systému.
- Neznalost managementu/odborné obsluhy.
- Nepořádek.
ISVS jsou informační systémy, které jsou definovány zákonem č. 365/2000 Sb. o informačních systémech veřejné správy, ve znění pozdějších předpisů. § 3 odst. 1 uvedeného zákona vymezuje ISVS jako „soubor informačních systémů, které slouží pro výkon veřejné správy“.
Operační systém, webový prohlížeč, e-mailový klient, textový a tabulkový editor nejsou samy o sobě ISVS.
Ano, nejen státní, ale rovněž komerční subjekty, které dodávají informační systémy pro státní správu mohou žádat o certifikaci ISVS.
Ano, školící služby si můžete objednat na našem webu www.ezuedu.cz, kde pravidelně vypisujeme zajímavé kurzy nejen z oblasti certifikací IT. Chcete-li kurz na míru, můžete si o něj zažádat zde.
Elektrotechnický zkušební ústav, s. p. disponuje celou řadou akreditačních osvědčení. Pro IT odvědví jsou nejvýznamnější osvědčení o akreditaci č. 42/2017 (certifikace produktů), dále osvědčení o akreditaci č. 48/2018 (inspekční orgán – ISVS) a osvědčení o akreditaci č. 487/2017 (certifikace systémů managementu).