Kybernetická bezpečnost: o čem je nový zákon?

Roman Bořánek 16. 1. 2015

1. ledna 2015 vstoupil v účinnost zákon o kybernetické bezpečnosti. Jedná se o vůbec první zákon ČR, který tuto sféru bezpečnosti řeší. Pro většinu lidí je však samotný pojem kybernetická bezpečnost poněkud mlhavý. Pojďme se podívat, co v zákonu stojí a jaké ukládá povinnosti. Špehování se nekoná.

Na koho se zákon vztahuje?

Poskytovatele služeb elektronických komunikací

Tímto termínem se označuje prostě poskytovatel internetového připojení. Ti si mohou oddychnout, povinností podle zákona nemají mnoho. Musí pouze nahlásit kontaktní údaje a v případě kybernetického nebezpečí provádět opatření vydaná NBU.

Významné sítě

Jedná se to „síť elektronických komunikací zajišťující přímé zahraniční propojení do veřejných komunikačních sítí nebo zajišťující přímé připojení ke kritické informační infrastruktuře.“ Vztahují se na ně stejná pravidla jako na poskytovatele.

Informační/komunikační systémy kritické informační infrastruktury

Prvky kritické infrastruktury vyjmenovává vyhláška č. 315/2014 Sb. Vyhláška definuje prvky kritické infrastruktury z nejrůznějších odvětví, např. energetiky, zemědělství, zdravotnictví, dopravy, komunikace atd. V každém odvětví jsou navíc stanovena určitá velikostní kritéria. Zákon se pak vztahuje i na prvky z těchto odvětvích v případech, kdy obsahují „informační nebo komunikační systém, který významně nebo zcela ovlivňuje činnost určeného prvku kritické infrastruktury“. Typickými příklady mohou být velké nemocnice či elektrárny.

Dále jsou přesněji určeny takové systémy přímo v oblasti IT. Konkrétně se jedná o:

  • informační systém spravovaný orgánem veřejné moci obsahující osobní údaje o více než 300 000 osobách
  • komunikační systém, zajišťující připojení nebo propojení prvku kritické infrastruktury, s kapacitou garantovaného datového přenosu nejméně 1 Gbit/s

Pro systémy kritické informační infrastruktury už je povinností podstatně více. Stejně jako poskytovatelé musí nahlásit kontaktní údaje a provádět opatření vydaná Národním bezpečnostním úřadem (NBÚ), a to i za standardního stavu. Kromě toho na sebe však musí brát i aktivní roli spočívající v detekci, dokumentaci a hlášení kybernetických bezpečnostních incidentů.

Významné informační systémy

Tato kategorie je vyhrazena speciálně pro systémy orgánů veřejné moci, které nejsou specifikovány obecnými kritérii, ale jsou přímo vyjmenovány ve vyhlášce 317/2014 Sb. Aktuálně je jich celkem 92 a obvykle se jedná o nejrůznější systémy ministerstev a významných úřadů. Zmiňme např. Centrální registr vozidel, Registr živnostenského podnikání, Centrální evidenci stíhaných osob nebo Centrální registr pojištěnců. Zde platí stejné povinnosti jako v předchozím případě, tedy i detekce, dokumentace a hlášení kybernetických bezpečnostních incidentů.

Definice základních pojmů

Zásadní součástí zákona je definice jednotlivých pojmů z oblasti kybernetické bezpečnosti, které lze jen obtížně pochopit intuitivně. Pro přesnost definice ponecháváme v plném znění.

  • kybernetický prostor – digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, a službami a sítěmi elektronických komunikací
  • kybernetická bezpečnost - souhrn právních, organizačních, technických a vzdělávacích prostředků k zajištění ochrany kybernetického prostoru
  • kybernetický bezpečnostní incidentkybernetická bezpečnostní událost, která představuje narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací
  • stav kybernetického nebezpečí – stav, ve kterém je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech nebo bezpečnost služeb nebo sítí elektronických komunikací, a tím dojde nebo by mohlo dojít k porušení nebo ohrožení zájmu České republiky

Hlášení incidentů

Povinné osoby, které jsou uvedeny v první části článku, mají povinnost kybernetické bezpečnostní incidenty ohlásit bezodkladně.  Subjekty zajišťující významnou síť hlásí incidenty Národnímu CERT, který zajišťuje CZ.NIC. Zbylé povinné osoby incidenty hlásí Vládnímu CERT, jež spadá pod NBÚ.

Formát hlášení lze nalézt v příloha č. 5 k vyhlášce č. 316/2014 Sb. Hlášení obsahuje zejména klasifikaci závažnosti incidentu, jeho typ, počet dotčených systémů a uživatelů nebo IP adresu systému. Samozřejmostí je pak podrobný popis incidentu a učiněných opatření. V případě nedodržení povinnosti hrozí povinné osobě pokuta do výše 100 tisíc korun. Za neoznámení kontaktních údajů lze uložit pokutu až 10 tisíc korun.

Informace o nahlášených incidentech může NBÚ sdílet s dalšími orgány veřejné správy, pokud je to nutné k plnění úkonů v rámci jejich působnosti. NBÚ může informace sdílet také s podobnými orgány v dalších zemích a dalšími bezpečnostními institucemi, pokud to dopomůže ochraně kybernetického prostoru. V tomto případě však data musí být anonymizovaná, resp. z nich nemůže být možno vyčíst původce (povinnou osobu).

Možnosti Národního bezpečnostního úřadu

CERT týmy přijatá hlášení vyhodnocují. Na základě přijatých informací pak Národní bezpečnostní úřad může reagovat několika způsoby. Základním nástrojem je vydání varování. To bude k nalezení na stránkách Vládního CERT a zároveň bude rozesláno povinným osobám. Varování má pouze informační charakter.

Dalším nástrojem je reaktivní protiopatření, které povinné osobě nařizuje, jak má na kybernetický bezpečnostní incident zareagovat. Provedení protiopatření je povinné. Osoba rovněž musí NBÚ oznámit, že protiopatření provedla. Proti rozhodnutí lze podat rozklad (v podstatě odvolání), které však nemá odkladný účinek. Ochranné protiopatření je podobné, ale je obecnějšího a preventivního rázu.

V nejhorším případě může dojít k vyhlášení stavu kybernetického nebezpečí: Stavem kybernetického nebezpečí se rozumí stav, ve kterém je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech nebo bezpečnost služeb nebo sítí elektronických komunikací, a tím dojde nebo by mohlo dojít k porušení nebo ohrožení zájmu České republiky.

Stav kybernetického nebezpečí nemůže vyhlásit NBÚ, ten jeho vyhlášení pouze doporučuje předsedovi vlády. V případě vyhlášení stavu pak vláda do 24 hodin musí rozhodnutí schválit, nebo zrušit. Stav lze vyhlásit nejdéle na sedm dní, přičemž vláda má možnost jeho trvání prodloužit až na třicet dní. Pokud nebezpečí přetrvává, může však dojít i k vyhlášení nouzového stavu.

Naplno se vše rozběhne nejdříve za rok

Zákon už sice vstoupil v účinnost, nicméně v praxi je spuštění systému k zajištění kybernetické bezpečnosti poněkud komplikovanější. „U kritické informační infrastruktury (KII) probíhá v současné době její určování. Tato činnost předpokládá osobní jednání mezi NBÚ/NCKB a daným subjektem. Na těchto jednáních je prověřeno, zda informační nebo komunikační systémy splňují kritéria stanovená pro KII legislativou. Pokud je shledáno, že ano, bude systém navržen ze strany NBÚ jako KII,“ vysvětluje mluvčí NBÚ Radek Holý.

widgety

„Povinnost začít hlásit kybernetické bezpečnostní incidenty subjektu vzniká jeden rok od určení u KII,“ dodává Holý. Co se týče významných informačních systémů, na ty se povinnost hlásit kybernetické bezpečnostní incidenty vztahuje už od 1. ledna 2015. Po dvou týdnech Vládní CERT eviduje cca padesát hlášení.

Holý si pochvaluje, že se nesetkává s hrubou neznalostí zákona či jinými nesrovnalostmi: „Reakce firem a dalších dotčených subjektů jsou veskrze pozitivní. Z části to může být dáno také tím, že přijetí zákona a prováděcích vyhlášek předcházela intenzivní jednání s odbornou veřejností, kdy byl hledán co největší konsenzus na ukládaných povinnostech a opatření. Paralelním efektem těchto jednání bylo informování většiny dotčených subjektů ještě před účinností zákona.“

Odkazy

Našli jste v článku chybu?
Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

DigiZone.cz: Test LG 55UH750V aneb Cena/výkon

Test LG 55UH750V aneb Cena/výkon

Vitalia.cz: Jaký je rozdíl mezi brambůrky a chipsy?

Jaký je rozdíl mezi brambůrky a chipsy?

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Lupa.cz: Hackeři mají data z půlmiliardy účtů Yahoo

Hackeři mají data z půlmiliardy účtů Yahoo

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?