Hlavní navigace

Kybernetická bezpečnost: o čem je nový zákon?

Roman Bořánek

1. ledna 2015 vstoupil v účinnost zákon o kybernetické bezpečnosti. Jedná se o vůbec první zákon ČR, který tuto sféru bezpečnosti řeší. Pro většinu lidí je však samotný pojem kybernetická bezpečnost poněkud mlhavý. Pojďme se podívat, co v zákonu stojí a jaké ukládá povinnosti. Špehování se nekoná.

Na koho se zákon vztahuje?

Poskytovatele služeb elektronických komunikací

Tímto termínem se označuje prostě poskytovatel internetového připojení. Ti si mohou oddychnout, povinností podle zákona nemají mnoho. Musí pouze nahlásit kontaktní údaje a v případě kybernetického nebezpečí provádět opatření vydaná NBU.

Významné sítě

Jedná se to „síť elektronických komunikací zajišťující přímé zahraniční propojení do veřejných komunikačních sítí nebo zajišťující přímé připojení ke kritické informační infrastruktuře.“ Vztahují se na ně stejná pravidla jako na poskytovatele.

Informační/komunikační systémy kritické informační infrastruktury

Prvky kritické infrastruktury vyjmenovává vyhláška č. 315/2014 Sb. Vyhláška definuje prvky kritické infrastruktury z nejrůznějších odvětví, např. energetiky, zemědělství, zdravotnictví, dopravy, komunikace atd. V každém odvětví jsou navíc stanovena určitá velikostní kritéria. Zákon se pak vztahuje i na prvky z těchto odvětvích v případech, kdy obsahují „informační nebo komunikační systém, který významně nebo zcela ovlivňuje činnost určeného prvku kritické infrastruktury“. Typickými příklady mohou být velké nemocnice či elektrárny.

Dále jsou přesněji určeny takové systémy přímo v oblasti IT. Konkrétně se jedná o:

  • informační systém spravovaný orgánem veřejné moci obsahující osobní údaje o více než 300 000 osobách
  • komunikační systém, zajišťující připojení nebo propojení prvku kritické infrastruktury, s kapacitou garantovaného datového přenosu nejméně 1 Gbit/s

Pro systémy kritické informační infrastruktury už je povinností podstatně více. Stejně jako poskytovatelé musí nahlásit kontaktní údaje a provádět opatření vydaná Národním bezpečnostním úřadem (NBÚ), a to i za standardního stavu. Kromě toho na sebe však musí brát i aktivní roli spočívající v detekci, dokumentaci a hlášení kybernetických bezpečnostních incidentů.

Významné informační systémy

Tato kategorie je vyhrazena speciálně pro systémy orgánů veřejné moci, které nejsou specifikovány obecnými kritérii, ale jsou přímo vyjmenovány ve vyhlášce 317/2014 Sb. Aktuálně je jich celkem 92 a obvykle se jedná o nejrůznější systémy ministerstev a významných úřadů. Zmiňme např. Centrální registr vozidel, Registr živnostenského podnikání, Centrální evidenci stíhaných osob nebo Centrální registr pojištěnců. Zde platí stejné povinnosti jako v předchozím případě, tedy i detekce, dokumentace a hlášení kybernetických bezpečnostních incidentů.

Definice základních pojmů

Zásadní součástí zákona je definice jednotlivých pojmů z oblasti kybernetické bezpečnosti, které lze jen obtížně pochopit intuitivně. Pro přesnost definice ponecháváme v plném znění.

  • kybernetický prostor – digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, a službami a sítěmi elektronických komunikací
  • kybernetická bezpečnost - souhrn právních, organizačních, technických a vzdělávacích prostředků k zajištění ochrany kybernetického prostoru
  • kybernetický bezpečnostní incidentkybernetická bezpečnostní událost, která představuje narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací
  • stav kybernetického nebezpečí – stav, ve kterém je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech nebo bezpečnost služeb nebo sítí elektronických komunikací, a tím dojde nebo by mohlo dojít k porušení nebo ohrožení zájmu České republiky

Hlášení incidentů

Povinné osoby, které jsou uvedeny v první části článku, mají povinnost kybernetické bezpečnostní incidenty ohlásit bezodkladně.  Subjekty zajišťující významnou síť hlásí incidenty Národnímu CERT, který zajišťuje CZ.NIC. Zbylé povinné osoby incidenty hlásí Vládnímu CERT, jež spadá pod NBÚ.

Formát hlášení lze nalézt v příloha č. 5 k vyhlášce č. 316/2014 Sb. Hlášení obsahuje zejména klasifikaci závažnosti incidentu, jeho typ, počet dotčených systémů a uživatelů nebo IP adresu systému. Samozřejmostí je pak podrobný popis incidentu a učiněných opatření. V případě nedodržení povinnosti hrozí povinné osobě pokuta do výše 100 tisíc korun. Za neoznámení kontaktních údajů lze uložit pokutu až 10 tisíc korun.

Informace o nahlášených incidentech může NBÚ sdílet s dalšími orgány veřejné správy, pokud je to nutné k plnění úkonů v rámci jejich působnosti. NBÚ může informace sdílet také s podobnými orgány v dalších zemích a dalšími bezpečnostními institucemi, pokud to dopomůže ochraně kybernetického prostoru. V tomto případě však data musí být anonymizovaná, resp. z nich nemůže být možno vyčíst původce (povinnou osobu).

Možnosti Národního bezpečnostního úřadu

CERT týmy přijatá hlášení vyhodnocují. Na základě přijatých informací pak Národní bezpečnostní úřad může reagovat několika způsoby. Základním nástrojem je vydání varování. To bude k nalezení na stránkách Vládního CERT a zároveň bude rozesláno povinným osobám. Varování má pouze informační charakter.

Dalším nástrojem je reaktivní protiopatření, které povinné osobě nařizuje, jak má na kybernetický bezpečnostní incident zareagovat. Provedení protiopatření je povinné. Osoba rovněž musí NBÚ oznámit, že protiopatření provedla. Proti rozhodnutí lze podat rozklad (v podstatě odvolání), které však nemá odkladný účinek. Ochranné protiopatření je podobné, ale je obecnějšího a preventivního rázu.

V nejhorším případě může dojít k vyhlášení stavu kybernetického nebezpečí: Stavem kybernetického nebezpečí se rozumí stav, ve kterém je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech nebo bezpečnost služeb nebo sítí elektronických komunikací, a tím dojde nebo by mohlo dojít k porušení nebo ohrožení zájmu České republiky.

Stav kybernetického nebezpečí nemůže vyhlásit NBÚ, ten jeho vyhlášení pouze doporučuje předsedovi vlády. V případě vyhlášení stavu pak vláda do 24 hodin musí rozhodnutí schválit, nebo zrušit. Stav lze vyhlásit nejdéle na sedm dní, přičemž vláda má možnost jeho trvání prodloužit až na třicet dní. Pokud nebezpečí přetrvává, může však dojít i k vyhlášení nouzového stavu.

Naplno se vše rozběhne nejdříve za rok

Zákon už sice vstoupil v účinnost, nicméně v praxi je spuštění systému k zajištění kybernetické bezpečnosti poněkud komplikovanější. „U kritické informační infrastruktury (KII) probíhá v současné době její určování. Tato činnost předpokládá osobní jednání mezi NBÚ/NCKB a daným subjektem. Na těchto jednáních je prověřeno, zda informační nebo komunikační systémy splňují kritéria stanovená pro KII legislativou. Pokud je shledáno, že ano, bude systém navržen ze strany NBÚ jako KII,“ vysvětluje mluvčí NBÚ Radek Holý.

„Povinnost začít hlásit kybernetické bezpečnostní incidenty subjektu vzniká jeden rok od určení u KII,“ dodává Holý. Co se týče významných informačních systémů, na ty se povinnost hlásit kybernetické bezpečnostní incidenty vztahuje už od 1. ledna 2015. Po dvou týdnech Vládní CERT eviduje cca padesát hlášení.

Holý si pochvaluje, že se nesetkává s hrubou neznalostí zákona či jinými nesrovnalostmi: „Reakce firem a dalších dotčených subjektů jsou veskrze pozitivní. Z části to může být dáno také tím, že přijetí zákona a prováděcích vyhlášek předcházela intenzivní jednání s odbornou veřejností, kdy byl hledán co největší konsenzus na ukládaných povinnostech a opatření. Paralelním efektem těchto jednání bylo informování většiny dotčených subjektů ještě před účinností zákona.“

Odkazy

Našli jste v článku chybu?

16. 1. 2015 7:16

Jenda (neregistrovaný)

Mě fascinuje ta myšlenka stavu kybernetického nebezpečí, který se dá na chvíli vyhlásit a pak zase zrušit. Přijde mi, že když mám k internetu připojené děravé systémy, tak je takový stav pořád. Podle definice je třeba teď. Pojďme ho vyhlásit.

> Musí pouze nahlásit kontaktní údaje a v případě kybernetického nebezpečí provádět opatření vydaná NBU.

Já vím že už jsem se ptal, ale tady by to snad mohl někdo vědět. Máte nějaké příklady toho, co můžou být taková opatření? Existuje nějaký limit, co…

16. 1. 2015 9:06

muf (neregistrovaný)

Ač se kybernetika s informatikou často potkává, rozhodně nejsou jedno a to samé.
Když v souvislosti třeba s tímto zákonem čtu "kybernetická bezpečnost", říkám si, co to jako má být? Kvalita regulace a bezpečnost nějakých regulačních smyček, které drží ve vzduchu dejme tomu erárního drona, aby nespadl???

Že takové kraviny píší novináři nebo politici, to chápu, u těch jsou hluboké neznalosti čehokoliv standard a tak nějak se předpokládají. Ale tady?


Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Flix TV startuje i na Slovensku

Flix TV startuje i na Slovensku

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

DigiZone.cz: „Black Friday 2016“: závěrečné zhodnocení

„Black Friday 2016“: závěrečné zhodnocení

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: I církev dnes vyrábí potraviny

I církev dnes vyrábí potraviny

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum