Nový kybernetický zákon v praxi. Nikdo neví, na koho se vztahuje, prováděcí vyhláška je nejasná

19. leden 2015 15:40 1 komentářů

Zákon o kybernetické bezpečnosti, který platí od ledna 2015, konečně dostal tři dlouho očekávané vyhlášky. Přitom jedna z nich je zásadní a současně nejvíce problematická.

Týká se významných informačních systémů a má upravovat, na koho se bude nová legislativa vztahovat. „Znění této vyhlášky je natolik vágní, že si na tuto otázku dodnes neumí s jistou odpovědět mnozí zástupci soukromých firem a totéž platí u orgánů veřejné správy. První problém může nastat už na konci ledna, dokdy mají dotčené subjekty povinnost nahlásit vládnímu CERTu své kontaktní údaje i zodpovědnou osobu pro oblast kybernetické bezpečnosti,“ upozorňuje Jakub Kejval, generální ředitel společnosti Bureau Veritas. Zbylé dvě vyhlášky pak definují povinnosti, které musí dotčené orgány plnit v oblasti ochrany dat před kybernetickými útoky a stanovují i lhůty, dokdy tak mají učinit.

Podnikatelé i veřejná správa tápou

Mnoho soukromých firem nás kontaktuje s dotazem, zda se na ně vůbec vztahuje nový kybernetický zákon, potažmo nejproblematičtější vyhláška o významných informačních systémech. Podnikatelskou sféru mohu uklidnit, protože tento předpis je určen pouze ministerstvům, krajským úřadům a dalším orgánům veřejné moci. Přesto však firmám doporučuji, aby se seznámily s nařízením vlády č. 315/2014 Sb. a ověřily si, zda nespadají do prvků takzvané kritické infrastruktury,“ říká generální ředitel Bureau Veritas Jakub Kejval. „Týká se to například bank či pojišťoven s tržním podílem nad 10 procent. Platí i pro soukromé zemědělce v případě, že hospodaří na půdě s výměrou nejméně 4 tisíce hektarů pro jednotlivou plodinu atd.,“ dodává ředitel společnosti, která se zabývá udělováním certifikátů managementu bezpečnosti informací podle ISO 27001.

Nesnadná orientace v prováděcích předpisech

Vyhláška o významných informačních systémech uvádí v příloze taxativně 92 významných informačních systémů orgánů veřejné moci. Dále však přichází s dopadovými a oblastními kritérii, přičemž naplnění určujících kritérií významného informačního systému nechává na posouzení správci tohoto systému. Právě zde může vyvstat mnoho nejasností. „Orgány veřejné moci se musí v těchto dvou prováděcích předpisech zorientovat a samy posoudit, zda parametry naplní, a to není tak snadné. Některá kritéria jsou navíc úsměvná, například zdravotnické zařízení, jehož celkový počet akutních lůžek je nejméně 2500. Taková nemocnice v Česku neexistuje, největší nemocnice VFN v Praze má 1 500 lůžek,“ podotýká Jakub Kejval.

Otázku kybernetické bezpečnosti nemohou řešit asistentky

Subjekty, na které se vztahuje vyhláška, mají povinnost nahlásit nejpozději do 31. ledna 2015 své kontaktní údaje vládnímu CERTu. Je třeba vyplnit poměrně jednoduchý formulář pro hlášení kontaktních údajů, který je v příloze č. 7 k vyhlášce č. 316/2014 Sb. „V části C tohoto formuláře nejde jen o kontaktní osobu, ale zároveň také o osobu oprávněnou jednat za danou organizaci ve věci kybernetické bezpečnosti. Tuto roli tedy nelze narychlo svěřit asistentkám, jak některé subjekty předpokládaly a chtěly tak učinit. Podle §6 odst. 2 a 4 této vyhlášky jde o "Manažera kybernetické bezpečnosti", kterou může být pouze osoba, odpovědná za systém řízení bezpečnosti informací, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením bezpečnosti informací po dobu nejméně tří let,“ upozorňuje Jakub Kejval z Bureau Veritas.

Životaschopnost zákona v praxi

Povinné subjekty musí mít zavedeny bezpečnostní opatření vyplývající z nových vyhlášek nejpozději k 1. lednu 2016. S jistotou se to týká například většiny ministerstev, Generálního finančního ředitelství, Státního úřadu pro kontrolu léčiv, Všeobecné zdravotní pojišťovny, České národní banky a dalších. „Roční lhůta je ještě zvládnutelná, ale za podmínky nasazení velkého úsilí a statisícových částek. Zejména státní správa bude mít problém najít ve svých osekaných rozpočtech nemalé finanční prostředky a rychle je uvolnit. I přes některé nejasnosti je ale určitě dobře, že kybernetický zákon máme a konečně i včetně prováděcích předpisů. Praxe nejbližších dvou let snad prokáže jeho životaschopnost a po této době bude na místě zákonné předpisy novelizovat,“ uzavírá generální ředitel společnosti Bureau Veritas Jakub Kejval.


Komentáře

Zbyněk Malý #0
Zbyněk Malý 28. leden 2015 16:17

V článku jsou drobné nepřesnosti. Z systémů kritické infrastruktury je nutné hlásit kontaktní informace včetně identifikace dotčených systémů do 30 dnů od vyrozumění o tom že se daného subjektu zákon dotýká.
Dotčené subjekty tedy budu vyrozuměny cestou NCKB (NBU).
Zavedení požadovaných bezpečnostních opatření má přechodnou dobu 1 rok od vyrozumění. Tedy konec ledna a 1.1.2016 neplatí všeobecně.

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







Kalendář

24. 10. VeeamON Forum 2017
25. 10.

26. 10.
Profesia days 2017
26. 10. Acronis Roadshow 2017
RSS 

Zprávičky

Google investoval do alternativní taxislužby Lyft

ČTK , 23. říjen 2017 09:00

Už v květnu podepsal Lyft dohodu o spolupráci s divizí samořídících aut Alphabetu.

...

Více 0 komentářů

Objem digitálních plateb i nadále roste

Pavel Houser , 23. říjen 2017 08:00

Nastupuje nový platební ekosystém...

Více 0 komentářů

ČSÚ: Volební weby byly nedostupné kvůli útoku DDoS

Pavel Houser , 22. říjen 2017 17:43

Výpadky prezentačních server vznikly na straně externího dodavatele komunikačních služeb. ...

Více 0 komentářů

Starší zprávičky

Úřad pro ochranu osobních údajů vyšetřuje e-shop Mall.cz kvůli úniku hesel

ČTK , 22. říjen 2017 08:00

Obchodu Mall.cz odcizili hackeři údaje až ke 750 000 starších uživatelských účtů....

Více 0 komentářů

Firma vypsala odměnu za odhalení digitálního podpisu slovenského ministra

ČTK , 21. říjen 2017 08:00

Problém se týká čipů německého výrobce Infineon Technologies, které Slovensko používá v občanských p...

Více 0 komentářů

Electro World v účetním roce zmírnil ztrátu na 92 milionů Kč

ČTK , 20. říjen 2017 12:00

Firma se soustředila na zlepšení prodejní a distribuční sítě a rozšíření sortimentu....

Více 0 komentářů

Dohoda o ochraně dat mezi EU a USA prošla první kontrolou

ČTK , 20. říjen 2017 08:00

Cílem dohody je chránit osobní údaje osob v EU předávané společnostem v USA. ...

Více 0 komentářů