Nový kybernetický zákon v praxi. Nikdo neví, na koho se vztahuje, prováděcí vyhláška je nejasná

19. leden 2015 15:40 1 komentářů

Zákon o kybernetické bezpečnosti, který platí od ledna 2015, konečně dostal tři dlouho očekávané vyhlášky. Přitom jedna z nich je zásadní a současně nejvíce problematická.

Týká se významných informačních systémů a má upravovat, na koho se bude nová legislativa vztahovat. „Znění této vyhlášky je natolik vágní, že si na tuto otázku dodnes neumí s jistou odpovědět mnozí zástupci soukromých firem a totéž platí u orgánů veřejné správy. První problém může nastat už na konci ledna, dokdy mají dotčené subjekty povinnost nahlásit vládnímu CERTu své kontaktní údaje i zodpovědnou osobu pro oblast kybernetické bezpečnosti,“ upozorňuje Jakub Kejval, generální ředitel společnosti Bureau Veritas. Zbylé dvě vyhlášky pak definují povinnosti, které musí dotčené orgány plnit v oblasti ochrany dat před kybernetickými útoky a stanovují i lhůty, dokdy tak mají učinit.

Podnikatelé i veřejná správa tápou

Mnoho soukromých firem nás kontaktuje s dotazem, zda se na ně vůbec vztahuje nový kybernetický zákon, potažmo nejproblematičtější vyhláška o významných informačních systémech. Podnikatelskou sféru mohu uklidnit, protože tento předpis je určen pouze ministerstvům, krajským úřadům a dalším orgánům veřejné moci. Přesto však firmám doporučuji, aby se seznámily s nařízením vlády č. 315/2014 Sb. a ověřily si, zda nespadají do prvků takzvané kritické infrastruktury,“ říká generální ředitel Bureau Veritas Jakub Kejval. „Týká se to například bank či pojišťoven s tržním podílem nad 10 procent. Platí i pro soukromé zemědělce v případě, že hospodaří na půdě s výměrou nejméně 4 tisíce hektarů pro jednotlivou plodinu atd.,“ dodává ředitel společnosti, která se zabývá udělováním certifikátů managementu bezpečnosti informací podle ISO 27001.

Nesnadná orientace v prováděcích předpisech

Vyhláška o významných informačních systémech uvádí v příloze taxativně 92 významných informačních systémů orgánů veřejné moci. Dále však přichází s dopadovými a oblastními kritérii, přičemž naplnění určujících kritérií významného informačního systému nechává na posouzení správci tohoto systému. Právě zde může vyvstat mnoho nejasností. „Orgány veřejné moci se musí v těchto dvou prováděcích předpisech zorientovat a samy posoudit, zda parametry naplní, a to není tak snadné. Některá kritéria jsou navíc úsměvná, například zdravotnické zařízení, jehož celkový počet akutních lůžek je nejméně 2500. Taková nemocnice v Česku neexistuje, největší nemocnice VFN v Praze má 1 500 lůžek,“ podotýká Jakub Kejval.

Otázku kybernetické bezpečnosti nemohou řešit asistentky

Subjekty, na které se vztahuje vyhláška, mají povinnost nahlásit nejpozději do 31. ledna 2015 své kontaktní údaje vládnímu CERTu. Je třeba vyplnit poměrně jednoduchý formulář pro hlášení kontaktních údajů, který je v příloze č. 7 k vyhlášce č. 316/2014 Sb. „V části C tohoto formuláře nejde jen o kontaktní osobu, ale zároveň také o osobu oprávněnou jednat za danou organizaci ve věci kybernetické bezpečnosti. Tuto roli tedy nelze narychlo svěřit asistentkám, jak některé subjekty předpokládaly a chtěly tak učinit. Podle §6 odst. 2 a 4 této vyhlášky jde o "Manažera kybernetické bezpečnosti", kterou může být pouze osoba, odpovědná za systém řízení bezpečnosti informací, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením bezpečnosti informací po dobu nejméně tří let,“ upozorňuje Jakub Kejval z Bureau Veritas.

Životaschopnost zákona v praxi

Povinné subjekty musí mít zavedeny bezpečnostní opatření vyplývající z nových vyhlášek nejpozději k 1. lednu 2016. S jistotou se to týká například většiny ministerstev, Generálního finančního ředitelství, Státního úřadu pro kontrolu léčiv, Všeobecné zdravotní pojišťovny, České národní banky a dalších. „Roční lhůta je ještě zvládnutelná, ale za podmínky nasazení velkého úsilí a statisícových částek. Zejména státní správa bude mít problém najít ve svých osekaných rozpočtech nemalé finanční prostředky a rychle je uvolnit. I přes některé nejasnosti je ale určitě dobře, že kybernetický zákon máme a konečně i včetně prováděcích předpisů. Praxe nejbližších dvou let snad prokáže jeho životaschopnost a po této době bude na místě zákonné předpisy novelizovat,“ uzavírá generální ředitel společnosti Bureau Veritas Jakub Kejval.


Komentáře

Zbyněk Malý #0
Zbyněk Malý 28. leden 2015 16:17

V článku jsou drobné nepřesnosti. Z systémů kritické infrastruktury je nutné hlásit kontaktní informace včetně identifikace dotčených systémů do 30 dnů od vyrozumění o tom že se daného subjektu zákon dotýká.
Dotčené subjekty tedy budu vyrozuměny cestou NCKB (NBU).
Zavedení požadovaných bezpečnostních opatření má přechodnou dobu 1 rok od vyrozumění. Tedy konec ledna a 1.1.2016 neplatí všeobecně.


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
22. 02. IT mezi paragrafy
RSS 

Zprávičky

Facebook zřídí v Paříži svůj první inkubátor pro začínající firmy

ČTK , 19. leden 2017 14:00

Americká sociální síť Facebook zřídí v Paříži svůj první inkubátor pro začínající firmy, tzv. startu...

Více 0 komentářů

Toshiba prý zvažuje o osamostatnění své polovodičové divize

ČTK , 19. leden 2017 11:00

Japonská společnost Toshiba Corp. zvažuje oddělení svých aktivit v oblasti výroby polovodičů do samo...

Více 0 komentářů

Sněmovna uzákoní pravidla pro informační systémy veřejné správy

ČTK , 19. leden 2017 07:00

Sněmovna zřejmě uzákoní pravidla pro to, jaké funkční vlastnosti mají mít informační systémy ve veře...

Více 0 komentářů

Starší zprávičky

ÚOOÚ za nevyžádaná obchodní sdělení uložil i půlmilionovou pokutu

ČTK , 18. leden 2017 14:00

Úřad pro ochranu osobních údajů (ÚOOÚ) v souvislosti s nevyžádanými obchodními sděleními udělil loni...

Více 0 komentářů

O2 spustila volání přes rychlé mobilní sítě LTE

ČTK , 18. leden 2017 12:00

Operátor O2 spustil službu volání v rychlé mobilní síti LTE. Největšími výhodami VoLTE jsou velmi kr...

Více 2 komentářů

Průměrná rychlost mobilního internetu loni stoupla na 23,8 Mbit/s

ČTK , 18. leden 2017 07:00

Průměrná rychlost mobilního internetu v Česku se v loňském roce zvýšila o 39 procent na 23,8 Mbit/s....

Více 0 komentářů

Telefónica má zaplatit 1,7 miliardy Kč Tykačovým firmám

ČTK , 17. leden 2017 15:00

Španělská telekomunikační společnost Telefónica má zaplatit firmám podnikatele Pavla Tykače 1,7 mili...

Více 0 komentářů