V našem hyperpropojeném světě se zabezpečení dat a kybernetická bezpečnost staly prvořadým problémem pro organizace všech velikostí a ve všech odvětvích. Vlády po celém světě reagovaly zavedením předpisů na ochranu citlivých informací a boj proti kybernetickým hrozbám. Je jich tolik, že začíná být trochu obtížné udržet si ve všech přehled!
V tomto článku se budeme zabývat kurátorským seznamem některých klíčových nařízení o ochraně údajů, rámců kybernetické bezpečnosti a oborových standardů zabezpečení dat z různých koutů světa.
Od rozsáhlého nařízení GDPR v Evropě až po odvětvově specifickou normu HIPAA ve Spojených státech jsme sestavili přehledný seznam s popisem, který vám zajistí, že budete vyzbrojeni znalostmi, které vám pomohou orientovat se ve složitém světě ochrany dat.
Pojďme rovnou k věci:
Obecné předpisy o ochraně údajů
OBECNÉ NAŘÍZENÍ O OCHRANĚ OSOBNÍCH ÚDAJŮ (GDPR) (EU)
Celý název: Obecné nařízení o ochraně osobních údajů
Oblast působnosti: Všechny organizace na celém světě, které zpracovávají osobní údaje obyvatel EU.
Popis: GDPR je nejpřísnější a nejkomplexnější nařízení o ochraně osobních údajů na světě. Společnosti jsou povinny chránit osobní údaje občanů EU a nemohou je shromažďovat ani zpracovávat bez jejich souhlasu.
Přečtěte si více informací o dodržování GDPR ->
CCPA (USA)
Celý název: California Consumer Privacy Act (Kalifornský zákon o ochraně soukromí spotřebitelů)
Působnost: Zákon o ochraně osobních údajů (Consumer Consumer Protection Regulation): CCPA se zaměřuje především na střední a velké podniky působící v Kalifornii, a to bez ohledu na to, kde se podnik nachází. Posoudit, zda podnik splňuje požadavky na "působení v Kalifornii", není snadný úkol. Přečtěte si informace o kritériích
Popis: Jaké jsou požadavky na ochranu osobních údajů v Kalifornii? CCPA je prvním komplexním zákonem o ochraně soukromí spotřebitelů ve Spojených státech. Dává spotřebitelům právo vědět, jaké osobní údaje jsou shromažďovány, právo na jejich vymazání a právo odmítnout prodej svých citlivých údajů.
Dne 1. ledna 2023 byl zákonem California Privacy Rights Act of 2020 (CPRA) rozšířen zákon CCPA, který spotřebitelům umožňuje zabránit podnikům ve sdílení jejich osobních údajů, opravit nepřesné údaje a omezit používání "citlivých osobních údajů" ze strany podniků. Zákonem byla zřízena specializovaná Kalifornská agentura pro ochranu soukromí.
Další informace o dodržování CCPA ->
PIPEDA (Kanada)
PIPEDA může být brzy nahrazen zákonem o ochraně soukromí spotřebitelů (Consumer Privacy Protection Act, CPPA) - od června 2023 prošel druhým čtením v Dolní sněmovně.
Úplný název: Zákon o ochraně osobních údajů a elektronických dokumentech (Personal Information Protection and Electronic Documents Act)
Působnost: Organizace působící v Kanadě nebo organizace sídlící mimo Kanadu, které používají osobní údaje v souvislosti s obchodními aktivitami v Kanadě.
Popis: Zákon o ochraně osobních údajů, který se vztahuje na osobní údaje, a který se vztahuje na osobní údaje, které jsou předmětem ochrany: PIPEDA je kanadský zákon o ochraně osobních údajů, který stanoví pravidla pro shromažďování, používání a zveřejňování osobních údajů v rámci komerčních činností. Vztahuje se na organizace soukromého sektoru při ziskových, komerčních činnostech.
DPA 2018 (SPOJENÉ KRÁLOVSTVÍ)
Úplný název: Data Protection Act
Působnost: Zákon o ochraně osobních údajů (DPA), zákon č. 101/2000 Sb: Zákon o ochraně osobních údajů: Organizace, včetně vládních a neziskových, které zpracovávají osobní údaje ve Spojeném království.
Popis: Zákon o ochraně osobních údajů, který se vztahuje na ochranu osobních údajů, a který se vztahuje na ochranu osobních údajů, které se týkají osobních údajů: Zákon o ochraně údajů z roku 2018 zahrnuje zásady GDPR a stanoví různá práva a povinnosti týkající se osobních údajů. Vyžaduje, aby organizace zavedly vhodná technická a organizační opatření k ochraně osobních údajů.
Zákon o ochraně osobních údajů (Austrálie)
Rozsah působnosti: Zákon o ochraně osobních údajů, který upravuje ochranu osobních údajů, a zákon č. 101/2000 Sb: Australské vládní agentury, podniky a neziskové organizace s určitým ročním obratem, ale za určitých okolností také menší organizace, jako jsou poskytovatelé zdravotní péče v soukromém sektoru, subjekty poskytující úvěrové informace a další.
Popis: Zákon o ochraně osobních údajů: Zákon o ochraně soukromí je hlavním australským právním předpisem o ochraně údajů. Jeho hlavním účelem je chránit soukromí jednotlivců a zajistit, aby se s jejich osobními údaji nakládalo spravedlivě a transparentně a aby organizace podnikaly přiměřené kroky k zajištění bezpečnosti údajů.
POPIA (Jihoafrická republika)
Celý název: Protection of Personal Information Act (Zákon o ochraně osobních údajů)
Působnost: Zákon o ochraně osobních údajů: Do působnosti zákona POPIA spadá každý soukromý nebo veřejný subjekt, který má sídlo v Jihoafrické republice nebo nemá sídlo v Jihoafrické republice, ale zpracovává osobní údaje v Jihoafrické republice.
Popis: Účelem zákona POPIA je chránit osobní údaje před krádeží, zneužitím a zlovolnými činy. POPIA popisuje podmínky, za kterých může jakákoli osoba nebo organizace zákonně zpracovávat citlivé údaje.
Další informace o dodržování POPIA ->
Předpisy okybernetické bezpečnosti
NIS2 (EU)
Členské státy EU mají do září 2024 čas na implementaci požadavků NIS2 do svých vnitrostátních právních předpisů.
Celý název: Směrnice o bezpečnosti sítí a informací
Scope: NIS2 se vztahuje na všechny organizace působící ve stanovených "zásadních" a "důležitých" odvětvích a oborech, včetně jejich poskytovatelů digitálních služeb.
Popis: NIS byla zavedena v roce 2016 jako první směrnice EU o kybernetické bezpečnosti. Cílem aktualizované NIS2 je vytvořit standardní úroveň ochrany v celé EU zavedením požadavků a opatření v oblasti kybernetické bezpečnosti ve všech členských státech EU. Obsahuje seznam dotčených odvětví, určuje bezpečnostní požadavky, sjednocuje oznamovací povinnosti a zavádí donucovací opatření a sankce.
To vše má chránit kritickou infrastrukturu a občany EU před kybernetickými útoky.
Další informace o dodržování NIS2 ->
Zákon o kybernetické bezpečnosti (EU)
Úplný název: Nařízení (EU) 2019/881
Působnost: Nařízení o kybernetické bezpečnosti (Cybersystém): Členské státy EU, agentura ENISA, certifikační orgány a organizace a podniky, které vyvíjejí, vyrábějí nebo poskytují produkty a služby IKT v EU.
Popis: Nařízení se vztahuje na oblast kybernetické bezpečnosti, která se týká zejména bezpečnostních systémů: Akt EU o kybernetické bezpečnosti uděluje Agentuře Evropské unie pro kybernetickou bezpečnost (ENISA) trvalý mandát a zavádí certifikační rámec pro produkty a služby IKT s cílem zajistit jejich spolehlivost. Podporuje spolupráci mezi členskými státy EU s cílem zlepšit postupy v oblasti kybernetické bezpečnosti a sdílení informací.
CMMC (USA)
Plné zavedení bylo odloženo a očekává se v roce 2025.
Úplný název: Cybersecurity Maturity Model Certification (Certifikace modelu vyspělosti kybernetické bezpečnosti).
Rozsah působnosti: Všichni dodavatelé a subdodavatelé Ministerstva obrany USA (DoD).
Popis: CMMC je rámec zavedený ministerstvem obrany s cílem chránit kontrolované neutajované informace, které sdílí se svými dodavateli a subdodavateli, před kybernetickými útoky.
Další informace o dodržování CMMC ->
Odvětvové předpisy oochraně údajů
HIPAA (USA)
Celý název: Health Insurance Portability and Accountability Act (Zákon o přenositelnosti a odpovědnosti zdravotního pojištění)
Odvětví: Zdravotní péče
Oblast působnosti: Poskytovatelé zdravotní péče působící ve zdravotnictví v USA a jejich obchodní partneři, kteří mají přístup k chráněným zdravotním informacím.
Popis: Hlavním účelem HIPAA je stanovit národní standardy pro elektronickou výměnu informací o zdravotní péči a zajistit důvěrnost informací o pacientech. Jeho cílem je zachovat soukromí a bezpečnost osobních zdravotních informací a zároveň umožnit účinnou a bezpečnou výměnu zdravotnických údajů.
Další informace o dodržování HIPAA ->
PCI DSS (USA)
Celý název: Payment Card Industry Data Security Standard
Odvětví:.
Rozsah působnosti: PCI DSS se celosvětově vztahuje na všechny subjekty, které zpracovávají, přenášejí nebo uchovávají údaje o držitelích karet.
Popis: PCI DSS je soubor pravidel a procesů, jejichž cílem je chránit citlivé údaje držitelů karet před narušením bezpečnosti a podvody. Obchodníkům říká, jak mají bezpečně a spolehlivě nakládat s údaji o platebních kartách svých zákazníků, aby se nedostaly do nepovolaných rukou.
Další informace o dodržování standardu PCI DSS ->
DORA (EU)
DORA je v současné době ve 24měsíčním přípravném období a začne platit v lednu 2025.
Celý název: Digital Operational Resilience Act (Zákon o digitální provozní odolnosti).
Odvětví: Bezpečnost a ochrana osobních údajů (DORA), v němž se bude uplatňovat DORA (DORA):.
Rozsah působnosti: DORA: 1: DORA se vztahuje na finanční subjekty zapojené do finančního systému EU a na poskytovatele ICT služeb, kteří je podporují. To platí i pro společnosti se sídlem mimo EU.
Popis: Účelem iniciativy DORA je posílit digitální odolnost v rámci Evropské unie. Vytváří soubor pravidel pro řešení rizik spojených s ICT ve finančním odvětví. Tím harmonizuje úsilí o zabezpečení údajů v členských státech EU.
Přečtěte si více informací o dodržování pravidel DORA ->
GLBA (USA)
Celý název: Gramm-Leach-Bliley Act
Odvětví: Odvětví, v němž se uplatňuje zákon o ochraně osobních údajů (tzv:.
Rozsah působnosti: Gramm-Leach-Bliley Act se vztahuje na celou řadu finančních institucí v USA.
Popis: Tento zákon se vztahuje na všechny subjekty, které se podílejí na podnikání: Gramm-Leach-Bliley Act je americký zákon, který upravuje nakládání s neveřejnými osobními údaji ze strany bank a finančních institucí, pojišťoven a poskytovatelů finančních služeb. Jednou z klíčových součástí je předpis o ochraně osobních údajů, který vyžaduje, aby finanční instituce poskytovaly zákazníkům jasná a stručná oznámení o ochraně osobních údajů, která vysvětlují postupy instituce při sdílení informací.
TISAX (Německo)
Celý název: Trusted Information Security Assessment Exchange
Rozsah působnosti: Certifikace TISAX je vyžadována od všech organizací, které obchodují s většinou významných hráčů v německém automobilovém průmyslu.
Popis: TISAX je certifikát, který se vztahuje na systémy TISAX a TISAX: TISAX byl vyvinut německým sdružením automobilového průmyslu (VDA) a poskytuje společný proces posuzování a výměny, který zajišťuje vysokou úroveň bezpečnosti a důvěrnosti dat v dodavatelském řetězci automobilového průmyslu.
Další informace o dodržování pravidel TISAX ->
Implementujte Safetica, abyste bez námahy splnili předpisy
Se systémem Safetica je snadné vyhovět různým regulačním požadavkům. Řešení identifikuje a klasifikuje citlivá data a zajišťuje jejich ochranu před zneužitím a narušením. Safetica umožňuje nastavit bezpečnostní politiky, takže můžete omezit přístup k citlivým souborům. Můžete také provádět bezpečnostní audity a zjistit stav zabezpečení dat ve vaší organizaci. A v případě, že i tak dojde k ohrožení bezpečnosti, budete v reálném čase informováni.