Blog

Zajímavosti a postřehy ze světa i z MoyaZone.

10 praktických tipů, jak se připravit na kontrolu

– Vytvořil/a

Olga Pincová

v kategorii

Čtvrtou přednáškou jsme se v rámci závěrečného dne CyberEdu NIS2 Academy přesunuli k ryze praktickému bloku. Ten by se dal shrnout „Jak přežít, když dojde na kontrolu„.

Celou akademii jsme se věnovali tomu, jak udržet organizaci v bezpečí a nedostat se do zorného pole NÚKIBu. Nicméně kontrole se nikdy nedá 100% vyhnout. Díky předchozí dobře odvedené práci se riziko „komplikací“ při kontrole snižuje, nicméně dobře se na kontrolu připravit je základ úspěchu.

Ve své přednášce nám tedy Vladimír Jeřábek naservíroval naprosto jasné tipy a cenné postřehy praxe.

Pokud na vás míří kontrola NÚKIB, nebo se chcete na ni připravit s předstihem, následující shrnutí vám poskytne přehled kroků, které byste rozhodně neměli podcenit.

Co je kontrola a jak probíhá?

  • NÚKIB kontroluje dodržování zákona o kybernetické bezpečnosti a celkovou „maturitu“ organizace v oblasti bezpečnosti – nejen pouhé splnění checklistu.
  • Kontrola začíná oznámením do datové schránky – v něm je uvedeno, co bude kontrolováno, v jakém termínu, a v jaké konkrétní oblasti.
  • Může být plánovaná nebo reaktivní (např. na základě incidentu nebo udání).
  • Samotná kontrola trvá obvykle 2–3 dny a probíhá ve dvou paralelních proudech – procesním a technickém.
  • Kontroloři mají právo pořizovat záznamy (fotky, audionahrávky…), chtít si prohlédnout dokumentaci i technické nastavení (např. konzole serveru).

Co kontrola obvykle zahrnuje?

  • Stav a platnost bezpečnostní dokumentace (ISMS, analýza rizik, směrnice…).
  • Technické zabezpečení (např. nastavení hesel, multifaktorová autentizace, přístupová práva).
  • Znalost procesů (přijetí zaměstnanců, řízení změn, dodavatelů).
  • Reálnou implementaci opatření – např. prostřednictvím zadávání příkazů na místě.
  • Incident handling – budete muset doložit celý životní cyklus řešeného incidentu.

Jak se na kontrolu připravit?

Bezpečnost neděláte kvůli kontrole. Děláte ji kvůli ochraně byznysu.

Přistupujte k přípravě projektově:

  • Určete zodpovědné osoby.
  • Vytvořte harmonogram a seznam úkolů.
  • Vymezte osoby, které se budou účastnit kontroly (musí umět správně a konzistentně odpovídat).

Zorganizujte cvičnou přípravu:

  • Simulujte kontrolu na 2–3 hodiny.
  • Vyzkoušejte si, kdo bude odpovídat na jaké otázky.

Vymezte prostory pro kontroly:

  • Zajistěte zasedací místnost(i), ideálně oddělené pro procesní a technickou část.

Připravte kompletní dokumentaci:

  • Mějte připravené všechny platné dokumenty (např. v rámci jednoho úložiště).
  • Dodržujte interní směrnice pro předávání citlivé dokumentace – neposílejte analýzy rizik nebo incidenty e-mailem, pokud je to v rozporu s vaší interní směrnicí!

Zvažte krátkou úvodní prezentaci:

  • Představte vaši organizaci a kontext řízení bezpečnosti během prvních 10–15 minut.
  • Účast vedení při zahájení kontroly zvyšuje její vážnost.

Otestujte bezpečnostní opatření:

  • Prověřte, zda nemáte např. expirované účty, chybějící MFA, nesprávné politiky hesel apod.

Co dělat po kontrole?

  • NÚKIB zašle protokol z kontroly – často s výzvou k součinnosti a připomínkám.
  • Pokud kontrola odhalí nedostatky, obdržíte nápravná opatření a lhůtu k jejich odstranění.
  • Reagujte včas! Pokud víte, že něco nestihnete, komunikujte s NÚKIBem co nejdříve.

Shrnutí: 10 nejdůležitějších tipů

  1. Připravujte se průběžně, ne až kvůli kontrole.
  2. Mějte jasně rozdělené role a zodpovědnosti.
  3. Nepodceňujte dokumentaci a její správné sdílení.
  4. Simulujte kontrolu dopředu.
  5. Vyhraďte prostory a osoby pro hladký průběh.
  6. Prezentujte organizaci a bezpečnostní kontext.
  7. Otestujte technická opatření včas.
  8. Komunikujte aktivně s kontrolním orgánem.
  9. Mějte připravené odpovědi na předpokládané otázky.
  10. Vnímejte kontrolu jako příležitost, ne jen jako hrozbu.

Pokud se chcete na kontrolu NÚKIB připravit opravdu zodpovědně, doporučujeme začít přípravou ještě před oficiálním oznámením. Nejlepší obranou je totiž dobře nastavený a fungující systém řízení bezpečnosti.

MoyaKybeon je nástroj pro řízení kybernetické bezpečnosti, který pomáhá organizacím splnit nároky plynoucí ze Zákona o kybernetické bezpečnosti nebo ISO certifikace. Nabízí funkce pro správu aktiv, hrozeb i zranitelností, analýzu rizik a mnoho dalších funkcionalit. Vyzkoušejte si 30denní demo zdarma.