Poradenství v oblasti kybernetické bezpečnosti a digitální regulace
Množství digitálních předpisů se rychle rozšiřuje a s nimi přibývá i nových povinností, které se týkají celé řady různých oblastí – od cloudové infrastruktury přes softwarové dodavatelské řetězce až po systémy umělé inteligence. Sledovat a plnit tyto požadavky každý zvlášť je neefektivní a vede k nadbytečným činnostem a zmatku.
Pomůžeme vám zorientovat se v překrývajících se požadavcích a nastavit řešení, které vám umožní splnit více regulací jedním krokem.
Je pro vás obtížné vyznat se v bludišti předpisů souvisejících s kybernetickou bezpečností a IT? Nechte to na nás – Deloitte bude vaším důvěryhodným průvodcem.
Poskytujeme strategické i praktické poradenství napříč celým spektrem digitálních a kybernetických předpisů a norem. Podrobnější informace o nich najdete v následující tabulce.
|
Nařízení / standard |
Koho se týká |
Klíčové požadavky / účel |
|---|---|---|
|
GDPR (obecné nařízení o ochraně osobních údajů) |
Jakákoli organizace zpracovávající osobní údaje v EU |
Zákonné zpracování, souhlas, práva subjektů údajů, hlášení úniků dat, přenosy dat |
|
Směrnice NIS 2 |
Základní a důležité subjekty (energetika, doprava, digitální infrastruktura atd.) |
Řízení rizik, hlášení incidentů, správa a governance, kontrola dodavatelského řetězce |
|
DORA (nařízení o digitální provozní odolnosti) |
Banky, pojišťovny, správci aktiv, fintechy |
Řízení ICT rizik, řešení incidentů, správa třetích stran, testování odolnosti |
|
Akt EU o kybernetické odolnosti (Cyber Resilience Act, CRA) |
Výrobci, dovozci, distributoři digitálních produktů |
Bezpečnost od návrhu, řešení zranitelností, shoda (CE), bezpečnost v celém životním cyklu |
|
Akt EU o kybernetické bezpečnosti (Cybersecurity Act, CSA) |
Poskytovatelé ICT, certifikační orgány v EU |
Princip „secure by design“, řešení zranitelností, compliance (CE), bezpečnost v celém životním cyklu |
|
Akt EU o kybernetické solidaritě (Cyber Solidarity Act) |
Vlády, CSIRT týmy, kritické sektory |
Mechanismy pro řešení kybernetických krizí, reakce na rozsáhlé útoky, upozornění platná v celé EU |
|
Směrnice CER (odolnost kritických subjektů) |
Kritické sektory včetně dopravy, zdravotnictví a energetiky |
Plánování odolnosti, hodnocení rizik, zmírnění hrozeb |
|
Směrnice o rádiových zařízeních (RED) – delegovaný akt |
Výrobci zařízení (označení CE) |
Kyberbezpečnostní povinnosti pro síťově propojená zařízení, bezpečné aktualizace, ochrana dat |
|
AI Act (připravuje se) |
Vývojáři, implementátoři a uživatelé AI |
Soulad podle rizikovosti, transparentnost, lidský dohled, bezpečnostní standardy |
|
Akt EU o datech a zákon o správě dat (Data Act & Data Governance Act) |
Držitelé dat, zpracovatelé, zprostředkovatelé |
Propojenost systémů, sdílení dat mezi podniky a státními institucemi, rámce pro bezpečné sdílení dat |
|
Evropský akt o přístupnosti (EAA) + EN 301 549 |
Poskytovatelé ICT produktů/služeb (zejména veřejný sektor) |
Přístupné webové stránky, mobilní aplikace, bankomaty, prodejní automaty, e-shopy v souladu s předpisy WCAG/EN 301549 |
|
ISO/IEC 27001 |
Všechny sektory (dobrovolně nebo na základě požadavků klientů) |
ISMS založený na rizicích, kontrolní cíle, certifikace připravená na audit |
|
IEC 62443 |
Dodavatelé OT/ICS, integrátoři, vlastníci aktiv |
Bezpečný vývoj systémů, jejich provoz a řízení životního cyklu |
|
EN 17927 (SESIP) |
Vývojáři IoT produktů a platforem |
Bezpečnostní hodnocení na úrovni komponent v souladu se směrnicemi CRA/RED |
|
UNECE R155 & R156 |
Automobilky a jejich dodavatelé |
Systémy řízení kyberbezpečnosti (CSMS), systémy správy softwarových aktualizací (SUMS) |
|
NIST Cybersecurity Framework (CSF) |
Subjekty kritické infrastruktury USA, ale rámec je často přijímán v soukromém i veřejném sektoru po celém světě |
Organizování aktivit v oblasti kyberbezpečnosti podle pěti funkcí: identifikace, ochrana, detekce, reakce a obnova. Rizikově orientovaný, flexibilní a přizpůsobitelný. |
|
SOC 2 (System and Organization Controls 2) |
Technologické a cloudové společnosti pracující s daty zákazníků |
Založeno na pěti kritériích důvěry: bezpečnost (povinné), dostupnost, integrita zpracování, důvěrnost a soukromí. Nezávislý audit je povinný. |
|
TISAX (Trusted Information Security Assessment Exchange) |
Dodavatelé a partneři v automobilovém průmyslu, zejména v Evropě |
Založeno na ISO/IEC 27001. Zaměřeno na informační bezpečnost, ochranu prototypů a ochranu dat. |
Jak vám v Deloitte můžeme pomoci?
Multiregulační gap analýzy
Poskytneme vám integrovaný přehled napříč předpisy a nařízeními DORA, CRA, NIS2, AI Act, ISO normami atd. Zpracujeme pro vás přehledné znázornění překrývajících se kontrolních požadavků a reportovacích povinností.
Harmonizace kontrol a politik
Vytvoříme jednotný rámec kontrol přizpůsobený vašim rizikům a specifikům odvětví.
Briefingy pro vedení a představenstvo
Zasadíme složité regulatorní povinnosti do kontextu obchodních rizik a priorit.
Compliance roadmapy a monitoring
Naplánujeme činnosti napříč regulacemi, aby nedocházelo ke zbytečné duplicitní práci.
Opens in new window
Why Deloitte?
Sbližování globálních regulací zvyšuje firemní náklady spojené s roztříštěným postupem při zavádění požadovaných opatření. Pomůžeme vám posunout se od reaktivního plnění povinností k proaktivitě a odolnosti. Ať už čelíte regulatorní lhůtě, auditu, nebo jste teprve na začátku – naši odborníci jsou připraveni vás podpořit.
