Na koho se zákon vztahuje?
Poskytovatele služeb elektronických komunikací
Tímto termínem se označuje prostě poskytovatel internetového připojení. Ti si mohou oddychnout, povinností podle zákona nemají mnoho. Musí pouze nahlásit kontaktní údaje a v případě kybernetického nebezpečí provádět opatření vydaná NBU.
Významné sítě
Jedná se to „síť elektronických komunikací zajišťující přímé zahraniční propojení do veřejných komunikačních sítí nebo zajišťující přímé připojení ke kritické informační infrastruktuře.“ Vztahují se na ně stejná pravidla jako na poskytovatele.
Informační/komunikační systémy kritické informační infrastruktury
Prvky kritické infrastruktury vyjmenovává vyhláška č. 315/2014 Sb. Vyhláška definuje prvky kritické infrastruktury z nejrůznějších odvětví, např. energetiky, zemědělství, zdravotnictví, dopravy, komunikace atd. V každém odvětví jsou navíc stanovena určitá velikostní kritéria. Zákon se pak vztahuje i na prvky z těchto odvětvích v případech, kdy obsahují „informační nebo komunikační systém, který významně nebo zcela ovlivňuje činnost určeného prvku kritické infrastruktury“. Typickými příklady mohou být velké nemocnice či elektrárny.
Dále jsou přesněji určeny takové systémy přímo v oblasti IT. Konkrétně se jedná o:
- informační systém spravovaný orgánem veřejné moci obsahující osobní údaje o více než 300 000 osobách
- komunikační systém, zajišťující připojení nebo propojení prvku kritické infrastruktury, s kapacitou garantovaného datového přenosu nejméně 1 Gbit/s
Pro systémy kritické informační infrastruktury už je povinností podstatně více. Stejně jako poskytovatelé musí nahlásit kontaktní údaje a provádět opatření vydaná Národním bezpečnostním úřadem (NBÚ), a to i za standardního stavu. Kromě toho na sebe však musí brát i aktivní roli spočívající v detekci, dokumentaci a hlášení kybernetických bezpečnostních incidentů.
Významné informační systémy
Tato kategorie je vyhrazena speciálně pro systémy orgánů veřejné moci, které nejsou specifikovány obecnými kritérii, ale jsou přímo vyjmenovány ve vyhlášce 317/2014 Sb. Aktuálně je jich celkem 92 a obvykle se jedná o nejrůznější systémy ministerstev a významných úřadů. Zmiňme např. Centrální registr vozidel, Registr živnostenského podnikání, Centrální evidenci stíhaných osob nebo Centrální registr pojištěnců. Zde platí stejné povinnosti jako v předchozím případě, tedy i detekce, dokumentace a hlášení kybernetických bezpečnostních incidentů.
Definice základních pojmů
Zásadní součástí zákona je definice jednotlivých pojmů z oblasti kybernetické bezpečnosti, které lze jen obtížně pochopit intuitivně. Pro přesnost definice ponecháváme v plném znění.
- kybernetický prostor – digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, a službami a sítěmi elektronických komunikací
- kybernetická bezpečnost - souhrn právních, organizačních, technických a vzdělávacích prostředků k zajištění ochrany kybernetického prostoru
- kybernetický bezpečnostní incident - kybernetická bezpečnostní událost, která představuje narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací
- stav kybernetického nebezpečí – stav, ve kterém je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech nebo bezpečnost služeb nebo sítí elektronických komunikací, a tím dojde nebo by mohlo dojít k porušení nebo ohrožení zájmu České republiky
Hlášení incidentů
Povinné osoby, které jsou uvedeny v první části článku, mají povinnost kybernetické bezpečnostní incidenty ohlásit bezodkladně. Subjekty zajišťující významnou síť hlásí incidenty Národnímu CERT, který zajišťuje CZ.NIC. Zbylé povinné osoby incidenty hlásí Vládnímu CERT, jež spadá pod NBÚ.
Formát hlášení lze nalézt v příloha č. 5 k vyhlášce č. 316/2014 Sb. Hlášení obsahuje zejména klasifikaci závažnosti incidentu, jeho typ, počet dotčených systémů a uživatelů nebo IP adresu systému. Samozřejmostí je pak podrobný popis incidentu a učiněných opatření. V případě nedodržení povinnosti hrozí povinné osobě pokuta do výše 100 tisíc korun. Za neoznámení kontaktních údajů lze uložit pokutu až 10 tisíc korun.
Informace o nahlášených incidentech může NBÚ sdílet s dalšími orgány veřejné správy, pokud je to nutné k „plnění úkonů v rámci jejich působnosti“. NBÚ může informace sdílet také s podobnými orgány v dalších zemích a dalšími bezpečnostními institucemi, pokud to dopomůže ochraně kybernetického prostoru. V tomto případě však data musí být anonymizovaná, resp. z nich nemůže být možno vyčíst původce (povinnou osobu).
Možnosti Národního bezpečnostního úřadu
CERT týmy přijatá hlášení vyhodnocují. Na základě přijatých informací pak Národní bezpečnostní úřad může reagovat několika způsoby. Základním nástrojem je vydání varování. To bude k nalezení na stránkách Vládního CERT a zároveň bude rozesláno povinným osobám. Varování má pouze informační charakter.
Dalším nástrojem je reaktivní protiopatření, které povinné osobě nařizuje, jak má na kybernetický bezpečnostní incident zareagovat. Provedení protiopatření je povinné. Osoba rovněž musí NBÚ oznámit, že protiopatření provedla. Proti rozhodnutí lze podat rozklad (v podstatě odvolání), které však nemá odkladný účinek. Ochranné protiopatření je podobné, ale je obecnějšího a preventivního rázu.
V nejhorším případě může dojít k vyhlášení stavu kybernetického nebezpečí: „Stavem kybernetického nebezpečí se rozumí stav, ve kterém je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech nebo bezpečnost služeb nebo sítí elektronických komunikací, a tím dojde nebo by mohlo dojít k porušení nebo ohrožení zájmu České republiky.“
Stav kybernetického nebezpečí nemůže vyhlásit NBÚ, ten jeho vyhlášení pouze doporučuje předsedovi vlády. V případě vyhlášení stavu pak vláda do 24 hodin musí rozhodnutí schválit, nebo zrušit. Stav lze vyhlásit nejdéle na sedm dní, přičemž vláda má možnost jeho trvání prodloužit až na třicet dní. Pokud nebezpečí přetrvává, může však dojít i k vyhlášení nouzového stavu.
Naplno se vše rozběhne nejdříve za rok
Zákon už sice vstoupil v účinnost, nicméně v praxi je spuštění systému k zajištění kybernetické bezpečnosti poněkud komplikovanější. „U kritické informační infrastruktury (KII) probíhá v současné době její určování. Tato činnost předpokládá osobní jednání mezi NBÚ/NCKB a daným subjektem. Na těchto jednáních je prověřeno, zda informační nebo komunikační systémy splňují kritéria stanovená pro KII legislativou. Pokud je shledáno, že ano, bude systém navržen ze strany NBÚ jako KII,“ vysvětluje mluvčí NBÚ Radek Holý.
„Povinnost začít hlásit kybernetické bezpečnostní incidenty subjektu vzniká jeden rok od určení u KII,“ dodává Holý. Co se týče významných informačních systémů, na ty se povinnost hlásit kybernetické bezpečnostní incidenty vztahuje už od 1. ledna 2015. Po dvou týdnech Vládní CERT eviduje cca padesát hlášení.
Holý si pochvaluje, že se nesetkává s hrubou neznalostí zákona či jinými nesrovnalostmi: „Reakce firem a dalších dotčených subjektů jsou veskrze pozitivní. Z části to může být dáno také tím, že přijetí zákona a prováděcích vyhlášek předcházela intenzivní jednání s odbornou veřejností, kdy byl hledán co největší konsenzus na ukládaných povinnostech a opatření. Paralelním efektem těchto jednání bylo informování většiny dotčených subjektů ještě před účinností zákona.“
ČLÁNKY DO MAILU