Vlastníci firem, členové představenstva i manažeři nesou odpovědnost za dodržování právních předpisů v oblasti kybernetické bezpečnosti.

Tato odpovědnost zahrnuje nejen implementaci technických opatření, ale i řízení rizik a dodržování bezpečnostních standardů podle předpisů EU jako jsou GDPR, NIS2, CRA a DORA. Ale neměl by to být ten hlavní důvod. Tím by měl být pud sebezáchovy, který možná některým zcela schází.

Během léta se riskařilo a kvantovalo jak v Bruselu, tak i na Slovensku. A trochu nečekaně vznikl revoluční metodický/podpůrný materiál právě na východ od nás.

Během horkých letních dní vzniklo v okruhu států EU hned několik materiálů zajímavých pro analytiky, specialisty a manažery, kteří se budou v souvislosti s NIS 2 zabývat kybernetickými riziky. Pozastavme se u dvou z nich. Důvodem výběru je „oficiální“ punc jednoho a až revoluční vyznění druhého.

Evropská unie se v nově přijatém nařízení 2025/38 (tzv. „akt o kybernetické solidaritě“) snaží posílit obranu proti kybernetickým hrozbám.

Předpokládá se, že tato opatření zvýší ochranu digitálních infrastruktur a budou reakcí na stále častější a sofistikovanější kybernetické útoky. Myšlenka je to jistě chvályhodná, ovšem existuje zde jistá obava, že to nebude fungovat a dojde na známé rčení: „Mysleli jsme to dobře, ale dopadlo to jako vždycky.“

NDA (Non-Disclosure Agreement) je bezpečnostní opatření mající podobu dohody o zachování mlčenlivosti mezi dvěma případně i více stranami.

Setkat se můžeme s jednostrannou (unilateralní), dvoustrannou (bilaterální) a vícestrannou (multiraterální) dohodou o mlčenlivosti.

S exploity se obchoduje stejně jako s jakoukoliv jinou komoditou. Jednoduše řečeno, někdo vykupuje švestky a dělá z nich kvalitní slivovici a někdy zase zero day exploity a dělá z nich kvalitní malware.

O kvalitě lze samozřejmě v obou případech diskutovat, ovšem oboje si své kupce najde, jen u těch exploitů je výkupní cena za kus kapánek vyšší a v čase roste.

Cílem tohoto příspěvku není detailně obsáhnout všechny problémy, se kterými se můžete při vývoji setkat, a které byste měli mít smluvně ošetřeny, ale upozornit jen na vybrané z nich.

Nebudu zde řešit, zda se jedná o klasický vývoj anebo agilní, protože níže uvedené problémy budete muset řešit tak jako tak.

V prvé řadě je třeba uvést, že etický hacking je možný pouze se souhlasem subjektu, který daný systém provozuje.

V opačném případě dochází k naplnění skutkové podstaty trestného činu dle § 230 Zákona č. 40/2009 Sb. trestního zákoníku, zkr. TZ.