Nový zákon o kybernetické bezpečnosti („ZKB“), účinný od 1. listopadu 2025, spolu s jeho prováděcími předpisy, přináší organizacím poskytujícím regulovanou službu řadu povinností vyplývajících mimo jiné ze směrnice NIS2. Jednou z klíčových součástí systému řízení kybernetické bezpečnosti je zavedení bezpečnostních opatření a vedení související dokumentace.
Jedním z důležitých dokumentů pro poskytovatele v režimu vyšších povinností je Prohlášení o aplikovatelnosti (anglicky Statement of Applicability, zkráceně SoA). Tento dokument shrnuje, která bezpečnostní opatření jsou pro organizaci relevantní, jak jsou implementována a proč případně některá opatření použita nejsou.
Prohlášení o aplikovatelnosti tak slouží jako přehledový dokument shrnující aplikovaná, případně neaplikovaná bezpečnostní opatření a jejich stav implementace a je jedním za základních dokumentů předkládaných při auditu nebo kontrole kybernetické bezpečnosti.
Co je Prohlášení o aplikovatelnosti?
Prohlášení o aplikovatelnosti je dokument, který propojuje analýzu rizik a konkrétní bezpečnostní opatření, která organizace zavádí.
Obsahuje zejména:
- seznam bezpečnostních opatření vyplývajících z právních předpisů nebo standardů,
- informaci, zda je opatření aplikovatelné nebo neaplikovatelné,
- způsob plnění opatření,
- případné zdůvodnění, proč opatření není aplikováno.
Jinými slovy jde o přehled bezpečnostních opatření organizace, který ukazuje, jak organizace reaguje na identifikovaná rizika a jak plní požadavky legislativy nebo standardů.aguje na identifikovaná rizika a jak plní požadavky legislativy nebo standardů.
Kdo musí Prohlášení o aplikovatelnosti zpracovat?
Prohlášení o aplikovatelnosti je běžnou součástí systémů řízení bezpečnosti informací, zejména podle standardu ISO/IEC 27001.
V kontextu české legislativy je tento dokument relevantní zejména pro organizace, které:
- spadají pod zákon o kybernetické bezpečnosti (ZKB) ve vyšším režimu,
- zavádějí systém řízení kybernetické bezpečnosti,
- nebo prokazují soulad s normami jako ISO 27001.
Prohlášení je důležité zejména při:
- interních nebo externích auditech,
- kontrolách regulátora,
- certifikaci podle bezpečnostních standardů,
- nebo při řízení bezpečnostních opatření uvnitř organizace.
Bez tohoto dokumentu je obtížné prokázat, že zavedená opatření odpovídají rizikům a požadavkům regulace.
Jak vzniká Prohlášení o aplikovatelnosti?
Prohlášení o aplikovatelnosti nevzniká samostatně – je výsledkem několika předchozích kroků řízení kybernetické bezpečnosti.
Typický postup zahrnuje:
1. Identifikaci aktiv
Organizace nejprve identifikuje aktiva, která jsou důležitá pro poskytování regulované služby – například systémy, data, procesy nebo dodavatele. Současně dochází k jejich ohodnocení z hlediska významu pro organizaci.
2. Analýzu a hodnocení rizik
Pro jednotlivá aktiva se posoudí možné hrozby a zranitelnosti a vyhodnotí se jejich dopad na organizaci.
3. Výběr bezpečnostních opatření
Na základě identifikovaných rizik se stanoví bezpečnostní opatření, která mají rizika snížit.
4. Vypracování Prohlášení o aplikovatelnosti
Do dokumentu se následně zaznamená:
- která opatření jsou relevantní,
- jak jsou implementována,
- a proč případně některá opatření použita nejsou.
Výsledkem je jasně strukturovaný dokument, který propojuje rizika, opatření a jejich implementaci.
Jak může pomoct Cybreg?
V praxi bývá příprava Prohlášení o aplikovatelnosti časově náročná. Organizace musí propojit rizika, aktiva, bezpečnostní opatření a dokumentaci, což bývá při správě v Excelu zdlouhavé a snadno zde mohou vznikat chyby.
Moderní nástroje pro řízení compliance a kybernetické bezpečnosti, jako je cybreg, tento proces výrazně zjednodušují.
Cybreg umožňuje zejména:
- evidenci aktiv, procesů, rizik a bezpečnostních opatření na jednom místě,
- automatické mapování opatření na požadavky regulace,
- sledování implementace jednotlivých opatření,
- evidenci odpovědných osob,
- generování dokumentace pro audit.
Díky tomu lze Prohlášení o aplikovatelnosti vytvářet a aktualizovat průběžně.
Jak vytvořit Prohlášení o aplikovatelnosti v Cybregu?
V prostředí Cybreg je prohlášení generováno přímo z dat uložených v systému.
Typicky funguje následující workflow:
- Organizace eviduje aktiva a služby.
- Provádí analýzu rizik.
- Na základě rizik vybírá bezpečnostní opatření.
- Systém eviduje stav implementace opatření.
- Z těchto informací je možné automaticky vytvořit aktuální Prohlášení o aplikovatelnosti.
Prohlášení o aplikovatelnosti lze v platformě Cybreg snadno vygenerovat přímo z prostředí aplikace. V sekci Kontrolní rámce stačí v pravé části obrazovky otevřít nabídku Možnosti a zvolit možnost Stáhnout Prohlášení o aplikovatelnosti (SoA), která stáhne aktuální verzi dokumentu připravenou z dat evidovaných v systému.
