Dvě novely jednoho zákona, skoro najednou

Nemálo zmatku způsobuje, že ve dvou po sobě následujících měsících byly vydány dva zákony regulující oblast kybernetické bezpečnosti. Oba mají dopad na zákon č. 181/2014 Sb., o kybernetické bezpečnosti (ZoKB).

Nemálo zmatku způsobuje, že ve dvou po sobě následujících měsících byly vydány dva zákony regulující oblast kybernetické bezpečnosti. Oba mají dopad na zákon č. 181/2014 Sb., o kybernetické bezpečnosti (ZoKB). Takže v první řadě, o jaké zákony jde:

  1. Dne 1. července 2017 začal platit zákon č. 104/2017 Sb., Zákon, kterým se mění zákon č. 365/2000 Sb., o ISVS [1].

  2. Dne 1. srpna 2017 začal platit zákon č. 205/2017 Sb., Zákon, kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti [2]

Co to tedy znamená? Zákon 181/2014 Sb., zákon o kybernetické bezpečnosti stále platí, ale prostřednictvím výše uvedených zákonů doznal níže uvedených změn.

Změny zavedené zákonem č. 104/2017 Sb.

  • § 2 dochází k definici provozovatele informačního nebo komunikačního systému, což znamená, že máme nově roli správce a nově roli provozovatele,

  • § 3 jsou ukládány povinnosti v oblasti kybernetické bezpečnosti, a ty jsou uloženy jak provozovateli, tak správci,

  • § 6a je řešen vztah mezi provozovatelem a správcem, zejména pak předání systémů a dat provozovatelem, zpět správci,

  • § 8 říká, že povinnost za hlášení bezpečnostního incidentu má i nadále správce, nicméně tato povinnost je splněna, provede-li hlášení incidentu za správce provozovatel (ten má samozřejmě informovat o hlášení i správce),

  • § 15a hovoří o možnosti úřadu uložit provozovateli povinnost předat systém a data správci, pokud provozovatel nereagoval na žádost správce,

  • § 25 upravuje přestupky a výši pokut.

Zkráceně shrnuto ZoKB se tedy nevztahuje jen a pouze na správce informačního nebo komunikačního systému (to je ten, kdo určuje účel zpracování informací a podmínky provozování informačního nebo komunikačního systému), ale nově tedy i jeho provozovatel. Tím jsou tedy pod účinnost zahrnuti všichni poskytovatelé cloudových nebo outsourcingových služeb, a to se všemi důsledky.

Změny zavedené zákonem č. 205/2017 Sb.

  • § 2 dochází k zavedení pojmu základní služba, jejíž narušení by mělo významný dopad v níže uvedených odvětvích
    • energetika,

    • < >< >infrastruktura finančních trhů,

    • < >vodní hospodářství,

    • digitální infrastruktura,

    • chemický průmysl,

    • ve stejném paragrafu je stanoveno, že informačním systémem základní služby je informační systém, na jehož fungování je závislé poskytování základní služby,

    • stejný paragraf dále říká, že provozovatel základní služby je určen úřadem (Národním úřadem pro kybernetickou a informační bezpečnost)

  • § 3 jsou ukládány povinnosti v oblasti kybernetické bezpečnosti, a ty jsou uloženy jak provozovateli, tak správci informačního systému základní služby,

  • § 3a je řešeno ustanovení zástupce poskytovatele digitálních služeb v ČR,

  • § 4 jsou ukládány povinnosti zavést bezpečnostní opatření a mít odpovídající dokumentaci, a to je uloženo jak provozovateli, tak správci informačního systému základní služby, KII nebo VIS,

  • ve stejném paragrafu je pak stanoveno povinnost pro orgány veřejné moci mít bezpečnost smluvně ošetřenou s poskytovateli cloud computingu,

  • § 4 řeší povinnost jednotlivých subjektů se informovat o skutečnosti, že se jedná o informační systém základní služby, KII nebo VIS tak, aby mohly přijmout všechny subjekty odpovídající opatření,

  • § 7 hovoří o povinnosti detekovat kybernetické bezpečnostní události, a tato povinnost se vztahuje i na správce či provozovatele informačního systému základní služby,

  • § 8 hovoří o povinnosti informovat o bezpečnostním incidentu, a tato povinnost se vztahuje i na správce či provozovatele informačního systému základní služby,

  • § 13 hovoří o povinnosti informovat o úřad o zavedení reaktivních opatření, a tato povinnost se vztahuje i na správce či provozovatele informačního systému základní služby,

  • Další části a paragrafy zákona řeší zejména ustanovení CERTu a Národního úřadu pro kybernetickou a informační bezpečnost.

Opět malá zkratka a souhrn. Nově budou úřadem definovány informační systémy základních služeb a navíc i jejich provozovatelé. Tito budou mít povinnost systémy nejenom zabezpečit, ale budou mít i povinnost detekovat bezpečnostní události a samozřejmě povinnost informovat o incidentech úřad. 
Obě novely tedy rozšiřují účinnost ZoKB na další subjekty se všemi povinnostmi, které znamenají povinnost implementovat jednak:

  • Procesy řízení rizik,

  • procesy řízení informační bezpečnosti,

  • procesy řízení incidentů,

  • technologie podporující a doplňující výše uvedené procesy.

V současné době pracuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) na tvorbě dvou legislativních dokumentů. Prvním dokumentem je vyhláška o provozovatelích základních služeb, která bude obsahovat tzv. určující kritéria. A na vyhlášce o kybernetické bezpečnosti, kterou je nutné novelizovat v souvislosti se změnou zákona o kybernetické bezpečnosti.


[1] Celý název je „šílený“: Zákon č. 104/2017 Sb., kterým se mění zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů, zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), a některé další zákony
[2] Celý název není o nic méně „šílený“: Zákon č. 205/2017 Sb., kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., a některé další zákony
Zájem ?