Kybernetický zákon
Zákon o kybernetické bezpečnosti (ZKB) je právní předpis, který dopadá vybrané firmy a státní instituce (regulované subjekty). V jeho aktuálním znění je v současné chvíli implementována i EU Směrnice NIS(1). Regulátorem, který je v ČR odpovědný za ZKB je Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Regulované subjekty musí zavádět předepsaná bezpečnostní opatření.
Regulované subjekty
- poskytovatelé služeb elektronických komunikací a subjekty zajišťující síť elektronických komunikací, příp. tzv. významné sítě
- správci a provozovatelé informačního nebo komunikačního systému kritické informační infrastruktury (KII)
- správci a provozovatelé významného informačního systému (VIS)
- správci a provozovatelé informačního systému základní služby (PZS)
- poskytovatelé digitálních služeb (DSP)

Prováděcí právní předpisy
Vyhláška o kybernetické bezpečnosti
Pro bezpečnostní odborníky je klíčová, neboť obsahuje výčet požadovaných bezpečnostních opatření, které jsou povinné pro regulované subjekty typu KII, PZS a DSP.
Mimochodem, jedná se o vyhlášku, na za jejíž tvorbu jsem byl zodpovědný během svého působení na NÚKIB. Její draft, před zařazením do legislativního procesu, vznikl ve spolupráci s expertním týmem tvořeným asi 30ti externími odborníky na kyberbezpečnost.
Vyhláška o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci
Aby mohly orgány veřejné moci využívat služby cloud computingu, musí být splněná určitá bezpečnostní pravidla. Část těchto pravidel uvádí právě tato vyhláška, konkrétně jde o bezpečnostní úrovně pro využívání cloud computingu orgány veřejné moci.
Vyhláška o významných informačních systémech
Obsahuje podmínky pro určení významných informačních systémů (VIS).
Vyhláška o kritériích pro určení provozovatele základní služby
Obsahuje podmínky pro určení provozovatele základních služeb (PZS).
Nařízení vlády o kritériích pro určení prvku kritické infrastruktury
Obsahuje podmínky pro určení kritické informační infrastruktury (KII).
Bezpečnostní opatření požadovaná vyhláškou o kybernetické bezpečnosti
- Zajištění organizační bezpečnosti vč. stanovení bezpečnostních rolí
- Zajištění fyzické bezpečnosti
- Řízení aktiv
- Řízení rizik
- Řízení bezpečnosti u dodavatelů
- Zajištění bezpečnosti lidských zdrojů
- Řízení bezpečnosti provozu a komunikačních sítí
- Zajištění použití bezpečné kryptografie
- Řízení změn a významných změn z hlediska bezpečnosti
- Řízení přístupu, správa a ověřování identit, řízení přístupových oprávnění
- Zajištění bezpečnosti akvizic, vývoje a údržby
- Zajištění architektury bezpečnosti (např. za účelem zajišťování úrovně dostupnosti informací a adekvátní bezpečnosti)
- Zajištění aplikační bezpečnosti (vč. provádění penetračních testů)
- Zajištění ochrany před škodlivým kódem
- Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů (log management)
- Detekce kybernetických bezpečnostních událostí
- Sběr a vyhodnocování kybernetických bezpečnostních událostí (analytika nad logy, např. pomocí SIEM)
- Zvládání kybernetických bezpečnostních událostí a incidentů
- Řízení kontinuity činností (business continuity management a havarijní plánování)
- Provádění auditu kybernetické bezpečnosti
Přichází nová směrnice EU - NIS2
EU přichází s novou směrnicí - "NIS2", ta se promítne do stávajícího kybernetického zákona nejen tím, že mírně upraví jednotlivé povinnosti. Značně ovlivní počet regulovaných osob! Podle předpokladu NÚKIB, se očekává nárůst až 15ti násobný.
Koukněte na videorozhovor, který jsem natáčel v rámci činností CyberSecurityPlatform.cz s kolegou Martinem Švédou z NÚKIB.