A smiling woman with long hair smiles at the camera next to her open laptop.

Seiberddiogelwch; rhwymedigaethau newydd y Bwrdd

“Yn y byd digidol sydd ohoni, lle mae sefydliadau’n dibynnu’n gynyddol ar ddata a thechnoleg, nid mater TG yn unig yw seiberddiogelwch – mae’n risg sy’n hollbwysig i’r busnes, ar yr un lefel â heriau ariannol a chyfreithiol.”

Richard Horne, Prif Weithredwr o’r National Cyber Security Centre

Cludfwyd Byrddau Cymru:

  • Mae materion seiber yn haeddu sylw Byrddau, gan gynnwys ar gyfer sefydliadau llai, yn gwbl briodol
  • Mae’r pecyn cymorth a’r hyfforddiant yn edrych fel ffyrdd syml o gefnogi’r Cod Ymarfer
  • Mae’r Cod Ymarfer yn ategu Strategaeth Seiber Cymru. Gall sefydliadau sydd wedi’u lleoli yng Nghymru gofrestru i fod yn aelodau o Ganolfan Seiber Gydnerth Cymru am ddim

Beth sy’n newydd

Ar 5 Ebrill 2025, cyhoeddodd Llywodraeth y DU set o adnoddau i gefnogi llywodraethu’r Bwrdd. Mae’r set hon o adnoddau yn cynnwys:

  • Cod ymarfer
  • Hyfforddiant
  • Pecyn cymorth diogelwch i Fyrddau

Disgrifiwyd lansiad y Cod Ymarfer gan y Gweinidog Seiberddiogelwch Feryal Clark fel:

…gan nodi’n glir y camau y dylai sefydliadau eu cymryd i ddiogelu eu gweithrediadau o ddydd i ddydd, gan hefyd sicrhau bywoliaeth eu gweithwyr a diogelu eu cwsmeriaid.

Yn fyr, nid yw hyn yn ‘braf i’w gael’. Mae’n ddeunydd darllen hanfodol i Fyrddau ar draws pob sector.

Cod Ymarfer

Mae’r cod wedi’i deilwra ar gyfer sefydliadau canolig neu fawr. Er bod mwyafrif helaeth y busnesau (95%) yng Nghymru yn ficro (h.y. yn cyflogi llai na deg o bobl), mae mwy na thraean o’r gweithlu’n cael eu cyflogi gan fentrau mawr (h.y. yn cyflogi mwy na 250 o bobl). Mae hyn yn gwneud y canllawiau yn arbennig o berthnasol yng nghyd-destun Cymru, yn enwedig i awdurdodau lleol, byrddau iechyd, prifysgolion, a chwmnïau preifat mwy. Nid yw sefydliadau llai yn cael eu gadael ar ôl ychwaith. Mae’r Ganolfan Seiberddiogelwch Genedlaethol yn cynnig canllawiau penodol ar eu cyfer.

Mae’r Cod wedi’i strwythuro o amgylch pum piler allweddol, pob un â chamau gweithredu:

  1. Rheoli risg
    • Adnabod a blaenoriaethu technoleg hanfodol
    • Cytuno ar berchnogaeth uwch o risgiau seiberddiogelwch
    • Diffinio archwaeth risg seiberddiogelwch
    • Asesu risg o gadwyn gyflenwi seiber
    • Cynnal asesiadau risg rheolaidd
  2. Strategaeth
    • Datblygu a gwreiddio strategaeth seiberddiogelwch o fewn y strategaeth sefydliadol
    • Alinio strategaeth seiber â rheoli risg
    • Neilltuo adnoddau i reoli risg
    • Cyflawni’r strategaeth seiber
  3. Pobl
    • Hyrwyddo diwylliant, ymddygiad ac atebolrwydd seiberddiogelwch da
    • Bod â pholisïau i ategu diwylliant da
    • Rhoi hyfforddiant ar waith
    • Mesur effeithiolrwydd yr hyfforddiant, addysg ac ymwybyddiaeth
    • Cynllunio digwyddiad, ymateb ac adfer
    • Datblygu cynllun i ymateb i ymosodiad seiber
    • Cynnal ymarferiad blynyddol o’r cynllun
    • Os bydd ymosodiad, sicrhewch fod gofynion adrodd a rheoleiddio yn cael eu bodloni
    • Cynllun ar gyfer adolygiad ar ôl y digwyddiad
  4. Sicrwydd a goruchwyliaeth
    • Sefydlu strwythur llywodraethu seiber, gan gynnwys perchnogaeth ar lefel gweithrediaeth ac anweithredol
    • Adrodd yn ffurfiol bob chwarter
    • Sefydlu cyfathrebu rheolaidd gyda’r swyddog(ion) gweithredol perthnasol
    • Sicrhau bod uwch swyddogion gweithredol yn ymwybodol o rwymedigaethau rheoleiddio

I sefydliadau yng Nghymru, y sector cyhoeddus, y sector preifat neu’r trydydd sector, mae hwn yn fframwaith defnyddiol ar gyfer adolygu a chryfhau trefniadau llywodraethu. Er ei bod yn bosibl mai fersiwn ysgafn yn unig sydd ei hangen ar sefydliadau bach, mae’r egwyddorion sylfaenol yn dal yn berthnasol iawn.

Hyfforddiant; rhad ac am ddim

Mae modiwlau hyfforddi ar gyfer pob un o’r pum piler ar gael am ddim gan y Ganolfan Seiberddiogelwch Genedlaethol (NSCS). Mae pob modiwl yn cymryd tua 20 munud ac wedi’i gynllunio ar gyfer dysgu hunan-gyflym. Mae hyn yn golygu y gellir diweddaru Cyfarwyddwyr ac Ymddiriedolwyr mewn ychydig oriau yn unig – buddsoddiad effeithlon mewn gwytnwch a chydymffurfiaeth.

Ciplun o un o’r modiwlau dysgu

Pecyn cymorth

Er mwyn helpu Byrddau i roi’r Cod ar waith, mae’r pecyn cymorth sy’n cyd-fynd ag ef yn darparu adnoddau ymarferol. Mae’r rhain yn cynnwys canllawiau cam wrth gam (e.e. nodi asedau hanfodol), a rhestrau gwirio i olrhain cynnydd a gweithrediad ar draws cydrannau’r Cod. Er enghraifft, mae cyngor ar ‘nodi’r asedau hanfodol yn eich sefydliad’, ac yna rhestr wirio sy’n eich galluogi i weld a ydych wedi cwblhau pob un o’r cydrannau sy’n rhan o’r gweithgaredd.

Safbwynt o Gymru

Nid yw seiber-lywodraethu yn haniaethol. Mae Cymru eisoes wedi cymryd camau strategol drwy ei Strategaeth Seiber, gan gynnwys creu Canolfan Gweithrediadau Diogelwch Cymru (SOC) genedlaethol, a lansiwyd yn 2024. Mae’r SOC, a ddarperir gan Socura o Gaerdydd, bellach yn cefnogi pob awdurdod lleol a gwasanaeth tân ac achub, ac mae eisoes wedi ennill cydnabyddiaeth genedlaethol am ei effaith.

Nid oes amheuaeth nad yw’r rhan fwyaf o sefydliadau’n dibynnu’n fawr ar ystod o offer a gwasanaethau digidol i gyflawni eu swyddogaethau, a bod bygythiadau i sefydliadau yn cynyddu o ran nifer a soffistigeiddrwydd. Rhwng esgeulustod ac ymosodiadau maleisus, mae digon o le i weithredu arfer da i leihau’r tebygolrwydd o ddifrod, ac yna cynyddu’r cyflymder dychwelyd i normal.

Mae achosion proffil uchel diweddar yng Nghymru yn cynnwys:

Gall un toriad data arwain at sawl math o gribddeiliaeth. P’un a ydych ar Fwrdd cyngor, elusen, ymddiriedolaeth GIG, neu fusnes preifat, mae’n fwyfwy amlwg bod yn rhaid i seibr-gydnerthedd gael ei arwain o’r brig. Mae’r Cod Ymarfer newydd yn cynnig ffordd ymarferol, strwythuredig o wneud hynny.

Bydd ymdrin â materion seiber yn gofyn am bartneriaeth wirioneddol rhwng y Bwrdd a’r weithrediaeth. Yn ôl yr arfer, mae gan lywodraethu rôl bwysig i’w chwarae wrth ddiogelu’r sefydliad rhag methiannau damweiniol a bygythiadau maleisus.

Barn bersonol David Clubb yw’r blogbost hwn. .

Tagiau

,

Categorïau