Dne 1.1.2015 vstoupil v účinnost předpis č. 181/2014 Sb., zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti). Téhož dne začala běžet třicetidenní lhůta ke splnění oznamovací povinnosti dle tohoto zákona a dále roční přechodné období, které všem dotčeným subjektům poskytuje prostor k přijetí všech ostatních zákonem požadovaných opatření.
Povinnosti jsou zákonem ukládány jak právnickým osobám soukromého práva, tak orgánům veřejné moci, a to tehdy, spravují-li tyto pro stát důležitý informační nebo komunikační systém. Povinnosti tak ukládá poskytovatelům služeb elektronických komunikací a subjektům zajišťující sítě elektronických komunikací, subjektům zajišťující významné sítě, správcům informačních systémů zařazených do kritické informační infrastruktury, správcům komunikačních systémů zařazených do kritické informační infrastruktury a správcům významných informačních systémů.[1]
Přímo tak dopadá především na úřady a společnosti provozující kritickou infrastrukturu a kritické informační systémy (jedná se především o sítě v oblasti energetiky nebo telekomunikací). Ostatní subjekty budou zákonem dotčeny jen v případě vyhlášení stavu kybernetického nebezpečí.[2]
Zákon provádějí dvě vyhlášky, a to jednak vyhláška o významných informačních systémech a jejich určujících kritériích, jednak vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti).[3] S kybernetickým zákonem také souvisí nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury a aktuálním znění.
Citovaný zákon a ostatní obecně závazné předpisy s ním související byly přijaty s cílem zajištění ochrany klíčových systémů před kyberútoky, neboť celosvětově se množící napadání nejrůznějších informačních systému poukázala na vzrůstající závislost společnosti na informačních technologiích na straně jedné a na nízkou úroveň ochrany i těch nejvýznamnějších sítí na straně druhé.
Jednou z největších výzev roku 2015 pro všechny dotčené subjekty tak bude účinné využití ročního přechodného období k implementaci všech nezbytných opatření.
[1] Přehledně jsou povinnosti jednotlivých subjektů popsány zde http://www.kybernetickyzakon.cz/
[2] Podle Věcného záměru zákona o kybernetické bezpečnosti (Návrh pro vnější připomínkové řízení) vypracovaného NBÚ: „Jedinou podstatnou změnou pro soukromoprávní subjekty bude oproti normálnímu režimu podle zákona o kybernetické bezpečnosti zavedení povinnosti poskytovatelům služeb elektronických komunikací a subjektům zajišťujícím sítě elektronických komunikací provádět protiopatření stanovená NBÚ. Protiopatření budou oznamována prostřednictvím kontaktních údajů, které tito poskytovatelé sdělili ústřednímu dohledovému pracovišti, které jsou sdíleny NBÚ.“
[3] http://www.nbu.cz/cs/pravni-predpisy/provadeci-pravni-predpisy/provadeci-pravni-predpisy-k-zakonu-c-1812014-sb-o-kyberneticke-bezpecnosti-a-o-zmene-souvisejicich-zakonu/
Foto: zdroj obrázku https://www.govcert.cz/
