V dnešním digitálně propojeném světě je kontinuita informačních a komunikačních technologií (ICT) klíčová pro nepřetržitý provoz každé organizace. Zajištění digitální odolnosti se stává prioritou, což podtrhují i nové regulace jako NIS 2 a DORA, které kladou na subjekty významné požadavky. Norma ISO/IEC 27031 poskytuje cenné pokyny pro řízení připravenosti ICT na zajištění kontinuity provozu (IRBC), což je nezbytný pilíř pro dosažení celkové kontinuity podnikání.
Kontinuita podnikání vs. Kontinuita ICT
Je důležité rozlišovat mezi kontinuitou podnikání a kontinuitou ICT. Kontinuita podnikání (Business Continuity) je schopnost organizace pokračovat v dodávkách produktů a služeb v přijatelných časových rámcích a v předem definované kapacitě během narušení. ICT Disaster Recovery, neboli obnova po havárii ICT, se pak zaměřuje na schopnost ICT prvků podporovat kritické procesy a činnosti organizace na přijatelné úrovni po narušení. Riziko narušení kontinuity sice může mít velmi nízkou pravděpodobnost výskytu, avšak jeho dopad na organizaci může být katastrofální. Cíle managementu kontinuity podnikání zahrnují zlepšení detekce incidentů, prevenci selhání, minimalizaci následků a zkrácení doby obnovy.
Regulační rámec a normy
Současný regulační rámec, zejména DORA (Digital Operational Resilience Act) a směrnice NIS 2, významně zvyšuje požadavky na digitální odolnost. DORA cílí na finanční sektor a požaduje komplexní rámec pro řízení ICT rizik, včetně analýzy dopadu na činnost (BIA), plánů zachování provozu ICT, reakce a obnovy, a pravidelného testování. NIS 2 pak rozšiřuje povinnosti v oblasti kybernetické bezpečnosti na širší spektrum subjektů a klade důraz na řízení kontinuity provozu, správu zálohování, obnovu po havárii a krizové řízení. Prováděcí nařízení (EU) 2024/2690 a návrh vyhlášky o bezpečnostních opatřeních pro regulované služby dále specifikují technické a metodické požadavky.
Normy ISO hrají klíčovou roli v implementaci těchto požadavků. ISO/IEC 27001:2022, norma pro systém managementu informační bezpečnosti (ISMS), obsahuje opatření týkající se informační bezpečnosti během narušení a připravenosti ICT na zajištění kontinuity činnosti organizace. ISO/IEC 27031:2025 pak poskytuje specifické pokyny pro zajištění připravenosti ICT na kontinuitu provozu (IRBC), včetně prevence, reakce a zotavení z narušení souvisejících s ICT. Tato norma podporuje nepřetržitý provoz, posiluje soulad mezi ICT, bezpečností a kontinuitou, zkracuje dobu obnovy a zvyšuje odolnost organizace.
Klíčové aspekty managementu kontinuity ICT
Efektivní management kontinuity ICT zahrnuje několik klíčových prvků:
- Analýza dopadů na podnikání (BIA) a posouzení rizik: BIA je proces analyzování dopadů narušení na organizaci v čase, jehož výsledkem jsou požadavky na kontinuitu podnikání, jako jsou časové cíle obnovy (RTO a RPO). RTO (Recovery Time Objective) je cílová doba po incidentu, během které má být obnoven provoz produktu, služby nebo činnosti. RPO (Recovery Point Objective) je bod, ke kterému jsou obnoveny informace používané při činnosti. Minimální cíl kontinuity podnikání (MBCO) definuje minimální úroveň služeb a/nebo produktů, která je přijatelná pro organizaci k dosažení jejích obchodních cílů během narušení. Při posuzování dopadů je nutné zohlednit nejhorší možný scénář. Posouzení rizik zahrnuje identifikaci hrozeb, zranitelností, pravděpodobnosti výskytu a dopadu událostí.
- Analýza dopadu na podnikání (BIA): BIA je proces analýzy dopadů narušení na organizaci v čase, jehož výsledkem jsou požadavky na kontinuitu podnikání, jako jsou cílová doba obnovy (RTO), cílový bod obnovy (RPO) a minimální cíl kontinuity podnikání (MBCO). RTO (Recovery Time Objective) je cílová doba po incidentu, během které má být obnoven provoz produktu, služby nebo činnosti. RPO (Recovery Point Objective) je bod, do kterého jsou obnoveny informace použité v dané činnosti. MBCO (Minimum Business Continuity Objective) definuje minimální úroveň služeb a/nebo produktů, která je pro organizaci přijatelná k dosažení jejích obchodních cílů během narušení.
- Posouzení rizik kontinuity ICT: Posouzení rizik zahrnuje identifikaci hrozeb (příčin událostí), zranitelností aktiv, obávaných událostí, jejich dopadu a pravděpodobnosti výskytu. Mezi hlavní hrozby patří přírodní události, technická selhání, neúmyslné i úmyslné lidské činy (včetně kybernetických útoků) či specifické hrozby pro dodavatelský řetězec ICT.
- Strategie připravenosti ICT na kontinuitu: Strategie by měly být přizpůsobeny složitosti ICT struktury a měly by zohledňovat různé scénáře. Příklady strategií zahrnují duální lokalitu, spolupráci, návrat do bezpečného stavu, obnovu dat, převzetí dodavateli, alternativní zdroje a minimalizaci provozu.
- Plány obnovy ICT: Organizace by měly vypracovat plány a postupy pro strategickou, taktickou a provozní úroveň. Postupy by měly být jasně dokumentovány a pravidelně testovány.
- Nácvik a testování: Pravidelné testování a cvičení jsou nezbytné pro ověření funkčnosti plánů a postupů obnovy. Program by měl zahrnovat různé úrovně nácviku, od obnovy dat po testy odolnosti počítačových sálů.
Závěrem lze říci, že zajištění kontinuity ICT je komplexní proces, který vyžaduje systematický přístup, soulad s regulačními požadavky a využití relevantních norem a metodik. Pravidelné hodnocení rizik, tvorba a testování plánů a neustálé zlepšování jsou klíčové pro udržení digitální odolnosti v dynamickém kybernetickém prostředí.