Zákony a předpisy upravující kybernetickou bezpečnost

Řízení kontinuity činností (Business Continuity Management - BCM) představuje proces spočívající identifikaci klíčových prvků (systémů a procesů) v organizaci a následném nastavení procesů a postupů umožňujících zajištění kontinuity či obnovy těchto prvků, na předem definované úrovni, na které bude ještě možno plnit základní úlohy organizace.

V případě řízení kontinuity činností je třeba provést hodnocení rizik a analýzu stávajících informačních a komunikačních systémů a služeb a na základě takto získaných dat stanovit:

• minimální úroveň poskytovaných služeb, která je přijatelná pro užívání, provoz a správu informačního a komunikačního systému,
• dobu obnovení chodu, během které bude po kybernetickém bezpečnostním incidentu obnovena minimální úroveň poskytovaných služeb informačního a komunikačního systému,
• bod obnovení dat jako časové období, za které musí být zpětně obnovena data po kybernetickém bezpečnostním incidentu nebo po selhání.

Povinná osoba dále v rámci řízení kontinuity činností:

• stanoví práva a povinnosti administrátorů a osob zastávajících bezpečnostní role,
• pomocí hodnocení rizik a analýzy dopadů vyhodnotí a dokumentuje možné dopady kybernetických bezpečnostních incidentů a posoudí možná rizika související s ohrožením kontinuity činností,
• stanoví politiku řízení kontinuity činností,
• vypracuje, aktualizuje a pravidelně testuje plány kontinuity činností a havarijní plány související s provozováním informačního a komunikačního systému a souvisejících služeb,
• realizuje opatření pro zvýšení odolnosti informačního a komunikačního systému vůči kybernetickým bezpečnostním incidentům a omezením dostupnosti.