Zákon o kybernetické bezpečnosti 181/2014 Sb. vešel v platnost v lednu 2015. Podřídit se mu musí nejen státní ale i soukromé organizace. Jeho primárním cílem je zvýšit bezpečnost kritické infrastruktury státu a významných informačních systémů, spravujících osobní údaje velkého množství lidí.

Buďte v obraze

Staňte se naším fanouškem na Facebooku a neunikne Vám žádná novinka na portále ProByznys.info

"Obecně lze říct, že cílem zákona je především stanovit základní úroveň bezpečnostních opatření, zlepšit detekci kybernetických bezpečnostních incidentů, zavést hlášení kybernetických bezpečnostních incidentů, zavést systém opatření k reakci na kybernetické bezpečnostní incidenty a upravit činnost dohledových pracovišť," popisuje Radek Holý z Národního bezpečnostního úřadu (NBÚ).

Koho se povinnosti dotýkají

"Vymezení personální působnosti považuji za jeden z nejproblematičtějších aspektů zákona. Zákon povinné osoby nepřímo rozděluje na dvě hlavní skupiny, přičemž jedna z nich je dotčena pouze částečně a má povinnosti pouze v případě incidentů, a na druhou z nich dopadají povinnosti v plné míře i mimo případy incidentů," uvádí Petr Mališ, právník z advokátní kanceláře Jansa, Mokrý, Otevřel & partneři.

Do první skupiny - dotčené jen částečně - patří poskytovatelé služeb elektronických komunikací (typicky mobilní a virtuální operátoři, poskytovatelé internetového připojení a podobně), subjekty zajišťující sítě elektronických komunikací a subjekty zajišťující takzvané významné sítě. Významné sítě propojují český kybernetický prostor se zahraničím nebo zajišťující přímé připojení ke kritické informační infrastruktuře.
 
Definice
Kritická informační infrastruktura:  Jedná se o obdobu kritické infrastruktury, jak ji specifikuje nařízení vlády a krizový zákon, do které je vložen pojem „informační“ a týká se informačních a komunikačních systémů.
Narušení funkce systémů určených jako kritická informační infrastruktura by mělo závažný dopad například na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu.          
Mališ vysvětluje: "Tyto osoby mají povinnost nahlásit národnímu dohledovému pracovišti - národnímu CERT - kontaktní údaje a jejich následné změny a za stavu kybernetického nebezpečí nebo za nouzového stavu přijmout reaktivní opatření, která jsou uvedena v zákoně." Mezi tyto povinné osoby patří primárně soukromé osoby – firmy.
 
Oproti tomu druhá skupina povinných osob zahrnuje správce informačních systémů kritické informační infrastruktury, správce komunikačních systémů kritické informační infrastruktury a správce významných informačních systémů. Ti mají plnou škálu povinností dle zákona, zejména plnit informační povinnosti vůči vládnímu CERT, zavádět bezpečnostní opatření a provádět opatření v rozsahu dle zákona. 

Tato skupina osob zahrnuje primárně osoby veřejného práva, například významné informační systémy státní správy, které jsou taxativně vyjmenovány prováděcí vyhláškou. Příkladem může být třeba informační systém katastru nemovitostí. "I do skupiny správců kritických informačních systémů mohou spadat soukromé osoby, které však splňují poměrně náročná a těžko vysvětlitelná průřezová a odvětvová kritéria, pro představu se může jednat například o provozovatele letišť, plynárny, ČEZ. Většina soukromých osob dotčených kybernetickým zákonem však bude v první, méně dotčené skupině povinných osob," dodává advokát.

Pokud by majitelům firem nebylo zřejmé, do které skupiny spadají, Národní centrum kybernetické bezpečnosti (NCKB) zveřejnilo na svých stránkách metodickou pomůcku, pomocí níž si mohou na tuto otázku odpovědět. Oba návodové dokumenty přikládáme pro ilustraci dole k článku.

Manažer bezpečnosti

Zákon mimo jiné nařizuje firmám vytvoření tří nových rolí – manažera, architekta a auditora kybernetické bezpečnosti. Ti všichni musí mít odpovídající praxi, což nemusí být vždy lehké na tuzemském pracovním trhu splnitelné. Kritéria ale nejsou přehnaně tvrdá.

"Kvalifikační požadavky nejsou nijak drakonické, de facto je požadována tříletá praxe v řízení bezpečnosti. Jedná se o roli, která má sloužit jako pojítko mezi nejvyšším vedením organizace a mezi operativní úrovni řízení. Je to role, která přenáší vize a záměry vedení na operativní úroveň. Například nejvyšší vedení chce mít ochranu před viry, což znamená, že manažer vydá pokyn k vhodné implementaci antivirového řešení a stanoví odpovídající politiku ochrany před škodlivým kódem," říká Luděk Mandok, ICT konzultant AutoCont CZ.

Zbývá vám ještě 30 % článku
První 2 měsíce předplatného za 40 Kč
  • První 2 měsíce za 40 Kč/měsíc, poté za 199 Kč měsíčně
  • Možnost kdykoliv zrušit
  • Odemykejte obsah pro přátele
  • Nově všechny články v audioverzi
Máte již předplatné?
Přihlásit se