Zákon o kybernetické bezpečnosti

Kybernetická bezpečnost je definována zákonem č. 181/2014 Sb., Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů a souvisejícími vyhláškami:

  • 316/2014 Sb. Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
  • 317/2014 Sb. Vyhláška o významných informačních systémech a jejich určujících kritériích

Dále výše uvedený zákon mění:

  • 106/1999 Sb. Zákon o svobodném přístupu k informacím
  • 231/2001 Sb. Zákon o provozování rozhlasového a televizního vysílání
  • 127/2005 Sb. Zákon o elektronických komunikacích
  • 412/2005 Sb. Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti

Při řešení kybernetické bezpečnosti je také použít zejména zákony (včetně příslušných vyhlášek):

  • 101/2000 Sb. - Zákon o ochraně osobních údajů
  • 365/2000 Sb. - Zákon o informačních systémech veřejné správy
  • 499/2004 Sb. - Zákon o archivnictví a spisové službě
  • Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 (eIDAS)

 

Co zahrnuje cílový stav?

  • Bezpečnostní opatření
  • Detekce kybernetických bezpečnostních událostí
  • Hlášení kybernetických bezpečnostních incidentů
  • Systém opatření k reakci na kybernetické bezpečnostní incidenty
  • Činnost dohledových pracovišť (národní CERT a vládní CERT)

Co definuje zákon?

Základní povinnosti (hlásit kontaktní údaje, detekovat kybernetické bezpečnostní události, hlásit kybernetické bezpečnostní incidenty, zavádět bezpečnostní opatření).

Povinnosti při stavu kybernetického nebezpečí (hlásit kontaktní údaje, provádět reaktivní opatření, zpracovávat bezpečnostní dokumentaci, hlásit kybernetické bezpečnostní incidenty, zavádět bezpečnostní opatření)

Organizační opatření (řízení aktiv, řízení rizik, bezpečnostní politika).

Technická opatření (fyzická bezpečnost, nástroje ochrany, ověřování a řízení, nástroje detekce, aplikační bezpečnost, kryptografické prostředky, bezpečnost průmyslových a řídících systémů).

Bezpečnostní dokumentaci s návazností na ISO/IEC 27001 je pevně stanovená struktura bezpečnostní dokumentace.

 

Je definován ve třech kategoriích (velmi závažný, závažný a méně závažný incident) s pevně stanovenou formou hlášení kybernetických bezpečnostních incidentů.

Pojmy

  • Kritická infrastruktura
  • Kritická informační infrastruktura
  • Významné informační systémy
  • Významné sítě
  • Poskytovatelé služeb elektronických komunikací

Dotčené subjekty

Zákon označuje dotčené subjekty jako povinné osoby.

Povinnými osobami tak jsou subjekty spravující specifické informační a komunikační systémy.

Vzhledem k základním principům jsou za standardní situace ukládány konkrétní povinnosti k zavedení bezpečnostních opatření, hlášení kybernetických bezpečnostních incidentů a provádění opatření pouze těm subjektům, jejichž systémy, sítě nebo služby mají zásadní význam pro fungování státu nebo informační společnosti. Pouze při vyhlášení stavu kybernetického nebezpečí se okruh subjektů majících na úseku kybernetické bezpečnosti povinnost provádět opatření rozšiřuje i na ostatní poskytovatele služeb a správce systémů a sítí.