Co přináší zákon o kybernetické bezpečnosti
Dlouho připravovaný zákon o kybernetické bezpečnosti (ZKB) nabyl platnosti vyhlášením ve Sbírce zákonů dne 29. srpna 2014 jako zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti). Zákon je účinný od 1. 1. 2015.
Se zmíněným zákonem úzce souvisejí následující prováděcí předpisy:
- Vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti),
- Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích,
- Nařízení vlády č. 315/2014 Sb., kterým se mění nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury.
Co je a co není cílem Zákona o kybernetické bezpečnosti
Základním cílem Zákona je zvýšit bezpečnost kybernetického prostoru a zejména se snažit ochránit tu část infrastruktury, která je pro fungování státu důležitá a jejíž narušení by vedlo k poškození nebo ohrožení zájmu České republiky.
Cílem Zákona není řešit všechna rizika v kyberprostoru, jako je např. porušování autorských práv, různé podvodné aktivity, úniky elektronických dat či šíření závadného elektronického obsahu.
Nové povinnosti
Pro orgány a osoby, které určuje zákon, přibude řada nových povinností v oblasti zajištění bezpečnosti informačních a komunikačních systémů a komunikace s určenými kontaktními místy.
Požadavky na bezpečnost informačních a komunikačních systémů
Zákon stanovuje, jakým způsobem má být kybernetická bezpečnost zajištěna a určuje způsob reakce na kybernetické hrozby nebo řešení nastalého incidentu. Podrobnosti ke způsobu realizace bezpečnostních opatření, ke komunikaci s kontaktními místy, vedení bezpečností dokumentace a kategorizaci kybernetických bezpečnostních incidentů určuje Vyhláška.
Kontroly a sankce
NBÚ je oprávněn kontrolovat dodržování stanovených zákonných povinností a ukládat nápravná opatření k odstranění nedostatků. Neplnění některých povinností je považováno za správní delikt s výší pokuty až 100 000 Kč.
Podnět k zamyšlení i pro ty, kterých se Zákon netýká
Povinnosti plynoucí ze Zákona se dotýkají jen vymezeného okruhu právnických osob, orgánů a podnikajících fyzických osob. To ale neznamená, že ostatních subjektů se potřeba chránit své informační a komunikační systémy před neustále narůstajícími kybernetickými hrozbami nijak netýká. Pro tyto subjekty může Zákon a zejména Vyhláška sloužit jako vhodná inspirace nebo metodika.
Nové pojmy, zkratky
Zákon zavádí nové pojmy (volně citováno) :
- Kybernetický prostor – digitální prostředí umožňující zpracování informací, tvořené informačními systémy a službami a sítěmi elektronických komunikací.
- Kritická informační infrastruktura – prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti (tato oblast je definována novelizací Nařízení vlády č. 432/2010 Sb.).
- Významný informační systém – informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci.
- Významná síť – síť elektronických komunikací zajišťující přímé zahraniční propojení do veřejných komunikačních sítí nebo zajišťující přímé připojení ke kritické informační infrastruktuře.
- Kybernetická bezpečnostní událost – událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací.
- Kybernetický bezpečnostní incident – narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události.
- Stav kybernetického nebezpečí – stav, ve kterém je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech nebo bezpečnost a integrita služeb nebo sítí elektronických komunikací, a tím by mohlo dojít k porušení nebo došlo k ohrožení zájmu České republiky ve smyslu zákona upravujícího ochranu utajovaných informací.
- Reaktivní opatření – opatření, které NBÚ vydává svým rozhodnutím a které je určeno k řešení kybernetického bezpečnostního incidentu anebo k zabezpečení informačních systémů nebo sítí a služeb elektronických komunikací před kybernetickým bezpečnostním incidentem.
- Ochranné opatření – opatření k řešení kybernetického bezpečnostního incidentu anebo k zabezpečení informačních systémů nebo sítí a služeb elektronických komunikací před kybernetickým bezpečnostním incidentem týkat blíže neurčeného okruhu orgánů nebo osob, vydá je Úřad formou opatření obecné povahy.
V textu jsou dále použity následující zkratky:
- NCKB – Národní centrum kybernetické bezpečnosti, součást Národního bezpečnostního úřadu se sídlem v Brně.
- CERT – (Computer emergency response team), skupina pro reakci na počítačové hrozby, ekvivalentní název pro CSIRT (Skupina pro reakce na počítačové bezpečnostní incidenty).
Hlavní novinky Zákona
- Zákon v §3 definuje orgány a osoby, kterým ukládá povinnosti v oblasti kybernetické bezpečnosti.
- Stanovuje způsob zajištění kybernetické bezpečnosti (opatření).
- Definuje kybernetickou bezpečnostní událost/incident.
- Určuje činnost NBÚ a dohledových pracovišť (vládní/národní CERT).
- Zavádí stav kybernetického nebezpečí, který vyhlašuje ředitel NBÚ.
Základní prvky kybernetické bezpečnosti
- Bezpečnostní opatření (detaily řeší Vyhláška o kybernetické bezpečnosti):
- organizační,
- technická,
- monitorování (detekování) bezpečnostních událostí,
- hlášení bezpečnostních incidentů dohledovým pracovištím,
- opatření (reakce na aktuální hrozbu, incident),
- oznamování kontaktních údajů,
- činnost dohledových pracovišť:
- vládní CERT, provozuje NCKB (NBÚ),
- národní CERT (CSIRT),
- kontrolní činnost NBÚ.
Orgány / osoby dotčené Zákonem
Zákon v §3 určuje orgány a osoby, kterým ukládá povinnosti v oblasti kybernetické bezpečnosti. Jsou to:
a) Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací (dle 127/2005), pokud nespadá pod písmeno b).
b) Subjekt zajišťující významnou síť, pokud nespadá pod písmeno d).
c) Správce informačního systému kritické informační infrastruktury.
d) Správce komunikačního systému kritické informační infrastruktury.
e) Správce významného informačního systému.
Komunikace v rámci kybernetické bezpečnosti
Povinnosti pro orgány a osoby
Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací
Hlavní povinnosti plynoucí ze Zákona pro osoby definované v §3, písm. a) Zákona:
- Oznámit národnímu CERT kontaktní údaje do 30 dnů ode dne účinnosti ZKB.
- Provádět reaktivní opatření za stavu kybernetického nebezpečí nebo za nouzového stavu.
Subjekt zajišťující významnou síť
Hlavní povinnosti plynoucí ze Zákona pro osoby definované v §3, písm. b) Zákona:
- Oznámit národnímu CERT kontaktní údaje do 30 dnů ode dne účinnosti Zákona.
- Detekovat kybernetické bezpečnostní události.
- Začít hlásit kybernetické bezpečnostní incidenty do 1 roku ode dne účinnosti Zákona, národnímu CERT.
- Provádět reaktivní opatření za stavu kybernetického nebezpečí nebo za nouzového stavu.
Správce informačního systému kritické informační infrastruktury a Správce komunikačního systému kritické informační infrastruktury
Hlavní povinnosti plynoucí ze Zákona pro orgány a osoby definované v §3, písm. c) a d) Zákona:
- Oznámit NBÚ (vládní CERT) kontaktní údaje do 30 dnů ode dne určení prvkem kritické informační infrastruktury.
- Detekovat kybernetické bezpečnostní události.
- Začít hlásit NBÚ (vládní CERT) kybernetické bezpečnostní incidenty do 1 roku ode dne určení prvkem kritické informační infrastruktury.
- Zavést bezpečnostní opatření do 1 roku ode dne určení prvkem kritické informační infrastruktury.
- Provádět reaktivní opatření.
- Provádět ochranné opatření.
Správce významného informačního systému
Hlavní povinnosti plynoucí ze Zákona pro orgány definované v §3, písm. e) Zákona:
- Oznámit NBÚ (vládní CERT) kontaktní údaje do 30 dnů ode dne naplnění určujících kritérií.
- Detekovat kybernetické bezpečnostní události.
- Začít hlásit NBÚ (vládní CERT) kybernetické bezpečnostní incidenty do 1 roku ode dne naplnění určujících kritérií pro významné informační systémy.
- Zavést bezpečnostní opatření do 1 roku ode dne naplnění určujících kritérií pro významné informační systémy.
- Provádět reaktivní opatření.
- Provádět ochranné opatření.