Nový kybernetický zákon v praxi. Nikdo neví, na koho se vztahuje, prováděcí vyhláška je nejasná

19. leden 2015 15:40 1 komentářů

Zákon o kybernetické bezpečnosti, který platí od ledna 2015, konečně dostal tři dlouho očekávané vyhlášky. Přitom jedna z nich je zásadní a současně nejvíce problematická.

Týká se významných informačních systémů a má upravovat, na koho se bude nová legislativa vztahovat. „Znění této vyhlášky je natolik vágní, že si na tuto otázku dodnes neumí s jistou odpovědět mnozí zástupci soukromých firem a totéž platí u orgánů veřejné správy. První problém může nastat už na konci ledna, dokdy mají dotčené subjekty povinnost nahlásit vládnímu CERTu své kontaktní údaje i zodpovědnou osobu pro oblast kybernetické bezpečnosti,“ upozorňuje Jakub Kejval, generální ředitel společnosti Bureau Veritas. Zbylé dvě vyhlášky pak definují povinnosti, které musí dotčené orgány plnit v oblasti ochrany dat před kybernetickými útoky a stanovují i lhůty, dokdy tak mají učinit.

Podnikatelé i veřejná správa tápou

Mnoho soukromých firem nás kontaktuje s dotazem, zda se na ně vůbec vztahuje nový kybernetický zákon, potažmo nejproblematičtější vyhláška o významných informačních systémech. Podnikatelskou sféru mohu uklidnit, protože tento předpis je určen pouze ministerstvům, krajským úřadům a dalším orgánům veřejné moci. Přesto však firmám doporučuji, aby se seznámily s nařízením vlády č. 315/2014 Sb. a ověřily si, zda nespadají do prvků takzvané kritické infrastruktury,“ říká generální ředitel Bureau Veritas Jakub Kejval. „Týká se to například bank či pojišťoven s tržním podílem nad 10 procent. Platí i pro soukromé zemědělce v případě, že hospodaří na půdě s výměrou nejméně 4 tisíce hektarů pro jednotlivou plodinu atd.,“ dodává ředitel společnosti, která se zabývá udělováním certifikátů managementu bezpečnosti informací podle ISO 27001.

Nesnadná orientace v prováděcích předpisech

Vyhláška o významných informačních systémech uvádí v příloze taxativně 92 významných informačních systémů orgánů veřejné moci. Dále však přichází s dopadovými a oblastními kritérii, přičemž naplnění určujících kritérií významného informačního systému nechává na posouzení správci tohoto systému. Právě zde může vyvstat mnoho nejasností. „Orgány veřejné moci se musí v těchto dvou prováděcích předpisech zorientovat a samy posoudit, zda parametry naplní, a to není tak snadné. Některá kritéria jsou navíc úsměvná, například zdravotnické zařízení, jehož celkový počet akutních lůžek je nejméně 2500. Taková nemocnice v Česku neexistuje, největší nemocnice VFN v Praze má 1 500 lůžek,“ podotýká Jakub Kejval.

Otázku kybernetické bezpečnosti nemohou řešit asistentky

Subjekty, na které se vztahuje vyhláška, mají povinnost nahlásit nejpozději do 31. ledna 2015 své kontaktní údaje vládnímu CERTu. Je třeba vyplnit poměrně jednoduchý formulář pro hlášení kontaktních údajů, který je v příloze č. 7 k vyhlášce č. 316/2014 Sb. „V části C tohoto formuláře nejde jen o kontaktní osobu, ale zároveň také o osobu oprávněnou jednat za danou organizaci ve věci kybernetické bezpečnosti. Tuto roli tedy nelze narychlo svěřit asistentkám, jak některé subjekty předpokládaly a chtěly tak učinit. Podle §6 odst. 2 a 4 této vyhlášky jde o "Manažera kybernetické bezpečnosti", kterou může být pouze osoba, odpovědná za systém řízení bezpečnosti informací, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením bezpečnosti informací po dobu nejméně tří let,“ upozorňuje Jakub Kejval z Bureau Veritas.

Životaschopnost zákona v praxi

Povinné subjekty musí mít zavedeny bezpečnostní opatření vyplývající z nových vyhlášek nejpozději k 1. lednu 2016. S jistotou se to týká například většiny ministerstev, Generálního finančního ředitelství, Státního úřadu pro kontrolu léčiv, Všeobecné zdravotní pojišťovny, České národní banky a dalších. „Roční lhůta je ještě zvládnutelná, ale za podmínky nasazení velkého úsilí a statisícových částek. Zejména státní správa bude mít problém najít ve svých osekaných rozpočtech nemalé finanční prostředky a rychle je uvolnit. I přes některé nejasnosti je ale určitě dobře, že kybernetický zákon máme a konečně i včetně prováděcích předpisů. Praxe nejbližších dvou let snad prokáže jeho životaschopnost a po této době bude na místě zákonné předpisy novelizovat,“ uzavírá generální ředitel společnosti Bureau Veritas Jakub Kejval.


Komentáře

Zbyněk Malý #0
Zbyněk Malý 28. leden 2015 16:17

V článku jsou drobné nepřesnosti. Z systémů kritické infrastruktury je nutné hlásit kontaktní informace včetně identifikace dotčených systémů do 30 dnů od vyrozumění o tom že se daného subjektu zákon dotýká.
Dotčené subjekty tedy budu vyrozuměny cestou NCKB (NBU).
Zavedení požadovaných bezpečnostních opatření má přechodnou dobu 1 rok od vyrozumění. Tedy konec ledna a 1.1.2016 neplatí všeobecně.

RSS 

Komentujeme

Umělá inteligence rozpoznává tvář zločince

Pavel Houser , 27. červen 2017 12:30
Pavel Houser

Když dnes člověk prohlásí, že rysy tváře souvisejí se zločinností, bude za šarlatána, který chce kří...

Více






Kalendář

25. 06.

29. 06.
Cisco Live 2017
22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
RSS 

Zprávičky

Hackeři napadli ukrajinské banky a podniky, i ruskou Rosněfť

ČTK , 27. červen 2017 18:27

Ukrajinu dnes zasáhla největší vlna hackerských útoků v historii země, informovalo ukrajinské minist...

Více 0 komentářů

Google dostal od Evropské komise rekordní pokutu 2,4 miliardy eur

ČTK , 27. červen 2017 13:06

Google se musí začít ke konkurenčním srovnávačům cen chovat stejně jako k vlastní službě. ...

Více 0 komentářů

Do sporu ruských úřadů se sítí Telegram se vložila i tajná služba

ČTK , 27. červen 2017 09:00

Podle provozovatele majitel sítě žádný "šifrovací klíč" nemá, ty si vytváří zařízení uživatele....

Více 0 komentářů

Starší zprávičky

NSZ zrušilo kvůli vadám stíhání šesti lidí v kauze IT zakázek

ČTK , 27. červen 2017 08:00

Případ se týká tendrů Integrovaného operačního programu ministerstva vnitra. ...

Více 0 komentářů

Konica Minolta umožňuje skenovat dokumenty mobilním telefonem

Pavel Houser , 26. červen 2017 16:04

Nová aplikace podle dodavatele zrychlí ve firmách zpracování dokumentů. Uživatelé mohou s každým dok...

Více 0 komentářů

Toshiba vypadne z hlavního indexu tokijské burzy Nikkei 225

ČTK , 26. červen 2017 10:00

Společnost dosud nezveřejnila auditované výsledky za uplynulý finanční rok, protože auditoři jí výsl...

Více 0 komentářů

Britský parlament se stal terčem kybernetického útoku

ČTK , 25. červen 2017 09:00

Mluvčí Dolní sněmovny potvrdila, že parlament odhalil neoprávněné pokusy o přístup....

Více 0 komentářů