Kybernetický zákon

Zákon o kybernetické bezpečnosti (ZKB) je právní předpis, který dopadá vybrané firmy a státní instituce (regulované subjekty). V jeho aktuálním znění je v současné chvíli implementována i EU Směrnice NIS(1). Regulátorem, který je v ČR odpovědný za ZKB je Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Regulované subjekty musí zavádět předepsaná bezpečnostní opatření.

Regulované subjekty

  • poskytovatelé služeb elektronických komunikací a subjekty zajišťující síť elektronických komunikací, příp. tzv. významné sítě
  • správci a provozovatelé informačního nebo komunikačního systému kritické informační infrastruktury (KII)
  • správci a provozovatelé významného informačního systému (VIS)
  • správci a provozovatelé informačního systému základní služby (PZS)
  • poskytovatelé digitálních služeb (DSP)

Prováděcí právní předpisy

Vyhláška o kybernetické bezpečnosti

Pro bezpečnostní odborníky je klíčová, neboť obsahuje výčet požadovaných bezpečnostních opatření, které jsou povinné pro regulované subjekty typu KII, PZS a DSP. 

Mimochodem, jedná se o vyhlášku, na za jejíž tvorbu jsem byl zodpovědný během svého působení na NÚKIB. Její draft, před zařazením do legislativního procesu, vznikl ve spolupráci s expertním týmem tvořeným asi 30ti externími odborníky na kyberbezpečnost. 

Vyhláška č. 82/2018 Sb.

Vyhláška o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci

Aby mohly orgány veřejné moci využívat služby cloud computingu, musí být splněná určitá bezpečnostní pravidla. Část těchto pravidel uvádí právě tato vyhláška, konkrétně jde o bezpečnostní úrovně pro využívání cloud computingu orgány veřejné moci. 

Vyhláška č. 315/2021 Sb.

Vyhláška o významných informačních systémech

Obsahuje podmínky pro určení významných informačních systémů (VIS).

Vyhláška č. 317/2014 Sb.

Vyhláška o kritériích pro určení provozovatele základní služby

Obsahuje podmínky pro určení provozovatele základních služeb (PZS).

Vyhláška č. 437/2017 Sb.

Nařízení vlády o kritériích pro určení prvku kritické infrastruktury

Obsahuje podmínky pro určení kritické informační infrastruktury (KII).

Nařízení vlády č. 432/2010 Sb.

Bezpečnostní opatření požadovaná vyhláškou o kybernetické bezpečnosti

  • Zajištění organizační bezpečnosti vč. stanovení bezpečnostních rolí
  • Zajištění fyzické bezpečnosti
  • Řízení aktiv
  • Řízení rizik
  • Řízení bezpečnosti u dodavatelů
  • Zajištění bezpečnosti lidských zdrojů
  • Řízení bezpečnosti provozu a komunikačních sítí
  • Zajištění použití bezpečné kryptografie
  • Řízení změn a významných změn z hlediska bezpečnosti
  • Řízení přístupu, správa a ověřování identit, řízení přístupových oprávnění
  • Zajištění bezpečnosti akvizic, vývoje a údržby
  • Zajištění architektury bezpečnosti (např. za účelem zajišťování úrovně dostupnosti informací a adekvátní bezpečnosti)
  • Zajištění aplikační bezpečnosti (vč. provádění penetračních testů)
  • Zajištění ochrany před škodlivým kódem
  • Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů (log management)
  • Detekce kybernetických bezpečnostních událostí
  • Sběr a vyhodnocování kybernetických bezpečnostních událostí (analytika nad logy, např. pomocí SIEM)
  • Zvládání kybernetických bezpečnostních událostí a incidentů
  • Řízení kontinuity činností (business continuity management a havarijní plánování)
  • Provádění auditu kybernetické bezpečnosti

Přichází nová směrnice EU - NIS2

EU přichází s novou směrnicí - "NIS2", ta se promítne do stávajícího kybernetického zákona nejen tím, že mírně upraví jednotlivé povinnosti. Značně ovlivní počet regulovaných osob! Podle předpokladu NÚKIB, se očekává nárůst až 15ti násobný.

Koukněte na videorozhovor, který jsem natáčel v rámci činností CyberSecurityPlatform.cz s kolegou Martinem Švédou z NÚKIB.

Oficiální web k NIS2 od NÚKIB