Režim nižších povinností podle nového zákona o kybernetické bezpečnosti se týká široké škály organizací ve veřejném i soukromém sektoru. Hlavní princip tohoto režimu je přiměřenost bezpečnostních opatření. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) k tomu vydal podpůrný materiál, který pomáhá organizacím správně vykládat a aplikovat tento princip v praxi.
Přiměřenost neznamená snižování bezpečnosti, ale výběr opatření podle následujících kritérií:
- druh poskytovaných služeb
- chráněná data
- reálné hrozby
- možnosti organizace.
Každé opatření musí být obhajitelné, zdůvodněné a dokumentované. NÚKIB doporučuje využívat procesní cyklus PDCA (Plan–Do–Check–Act = naplánovat, udělat, zkontrolovat, konat). Podpůrný materiál uvádí konkrétní případy jako školení zaměstnanců, zálohování nebo monitoring – vždy tak, aby opatření odpovídala potřebám a rizikům dané organizace. Opatření i dokumentace k nim by měly být transparentní a průběžně aktualizované.
Materiál je dostupný na portálu NÚKIB zde: https://portal.nukib.gov.cz/informacni-servis/podpurne-materialy/6965080d2762de19a50c2e1c