Co bude znamenat zákon o kybernetické bezpečnosti pro firmy?

ITbiz.cz, 29. srpen 2014 11:22 2 komentářů
Co bude znamenat zákon o kybernetické bezpečnosti pro firmy?

Od ledna 2015 začne v České republice zřejmě platit nový zákon o kybernetické bezpečnosti, díky kterému by měl být stát odolnější vůči případným elektronickým útokům na důležité počítačové systémy v zemi. Normu, kterou vytvořil Národní bezpečnostní úřad, schválili poslanci i senátoři a 13. srpna ji podepsal i prezident Miloš Zeman. Novým zákonem se budou muset řídit úřady i některé soukromé firmy. Koho přesně se zákon dotkne, jaké konkrétní kroky bude třeba podniknout a kolik bude zavedení nových pravidel stát?

Zákon o kybernetické bezpečnosti, který má vstoupit v platnost k 1. 1. 2015, se v Česku připravuje již poměrně dlouhou dobu. Málokdo dnes například tuší, že začal vznikat ještě dávno před tzv. „Talinským manuálem“ kybernetické obrany, který vymezuje rámec pro kybernetické válčení a prevenci před útoky pro země NATO. Pracuje se na něm de facto již od října roku 2011, kdy usnesením vlády č. 781/2011 přešla gesce v oblasti kybernetické bezpečnosti z pasivního resortu vnitra na samostatně fungující jednotku jménem Národní bezpečnostní úřad.

Tíha zákona se dotkne především ISP providerů, TELCO operátorů, majitelů telehousů a dalších provozovatelů významných IT infrastruktur, kteří nově budou muset monitorovat a hlásit bezpečnostní incidenty. Zároveň se značně posílily pravomoce národního centra kybernetické bezpečnosti (CERT), které bude informace analyzovat a vyhodnocovat.

Proč byl zákon potřeba?

S rychlým rozvojem informačních technologií a další integrací nových počítačových systémů se výrazně zvyšuje i riziko elektronického útoku. Na složitých počítačových sítích jsou dnes závislé prakticky všechny obory důležité pro bezchybný a hlavně bezpečný chod státu. Na IT systémech závisí ekonomika jako celek; doprava, energetika a další strategická odvětví. Evropská unie proto vydala směrnici, podle níž by měly všechny členské státy zvýšit svoji schopnost odolávat případným útokům na kybernetické úrovni.

Svou sílu demonstrovali hackeři a jejich programy určené proti celé řadě cílů po celém světě. Podobných útoků přitom každoročně přibývá a škody se pohybují v řádech stovek milionů dolarů. Není výjimkou, že profesionálně navržený počítačový vir dokáže vyřadit z provozu nejen počítačové sítě. Česko zažilo jeden z největších elektronických útoků na jaře 2013, kdy hackeři vyřadili pomocí takzvaného „přehlcení“ počítačových systémů několik tuzemských zpravodajských serverů a internetových systémů českých poboček bankovních domů a mobilních operátorů.

Principy Zákona o kybernetické bezpečnosti v kostce

Primárním úkolem první podobné legislativní úpravy v historii Česka je sjednocení elektronické komunikace. Sjednotit by se tak měla výměna informací nejen ve státní, ale částečně i soukromé sféře; zákon přímo stanovuje i jejich vzájemné dorozumívání. Kontrolní i exekutivní pravomoci má mít centrální orgán (Národní centrum kybernetické bezpečnosti CERT se sídlem v Brně). Aktivovat a hlavně sjednotit by se tak měla dnes pasivní počítačová ochrana státu a Česko by tak mělo být schopno nejen snadněji rozpoznat, ale přímo aktivně bojovat s útoky na elektronické úrovni. Lepší ochrany by se tak mohla dočkat i osobní data občanů registrovaných například na úřadech nebo bankách. Pomoci by měl nový zákon – podle jeho navrhovatelů – i samotné české ekonomice – měl by totiž zatraktivnit tuzemské prostředí pro zahraniční investice (nejen IT), na druhé straně by měl podporovat světově uznávané české dodavatele ICT technologií.

Kontroverzní body

Přesto, že zákon teprve čeká na podpis prezidenta a platit by měl začít až od ledna příštího roku, už teď se na něj obrací kritika řady odborníků. Podle nich není – mimo jiné - v zákoně zcela jasně stanoveno, kdo a jakým konkrétním způsobem se jím bude muset řídit. Zákon je postaven na třech pilířích: bezpečnostní opatření, hlášení kybernetických bezpečnostních incidentů a protiopatření (reakce na incidenty). Odpůrci zákona se nejčastěji bojí třetího pilíře, že zákon dává státu velkou moc regulovat informační sektor a že by mohl odposlouchávat či přímo odpojovat nepohodlné osoby či organizace.

Zásadnější změny v koncepci zákona, směřující zejména k oslabení role národního CERTu, sice jistí poslanci navrhli, ale ani jeden z návrhů neprošel. Zástupci komerčního segmentu jsou navíc nervouní také ze zcela jiných důvodů: „Jsou zde i jiná rizika, já osobně se mnohem více bojím toho, že zákon by měl nabýt účinnosti již 1. 1. 2015, přičemž dotčené subjekty budou mít pouze půl roku na to, uvést svůj systém bezpečnosti informací plně v soulad se zákonem,“ komentuje například Jakub Kejval, ředitel české pobočky certifikační společnosti Bureau Veritas.


Komentáře

Vladimír #1
Vladimír 02. září 2014 11:26

Ach jo, to je zase článek. Prosím vás, přestaňte si plést platnost a účinnost zákona, účinnost je totiž až o půl roku déle. A bohužel většina ostatních informací je ve stejném duchu - nepřesné, zavádějící a bohužel i úplně lživé. Např. zde nejsou vůbec zmiňované prováděcí předpisy, kterými se jednak přesně definují jednotlivé požadavky (podle ISO 27000) na bezpečnost a jednak se také stanoví okruh dotčených osob. Nebo tvrzení že se to především dotkne telekomunikačních operátorů - nedotkne, protože ty jsou už dávno na to připravené a požadavky splňují. Koho se to však dotkne ve velké míře jsou především státní orgány, které poskytují veřejnou službu a přitom na bezpečnost zatím ani nehrábly, ale stejně tak třeba dráhy, energetika, nemocnice - prostě spousta firem, které spadají pod zákon 240/2000 Sb - krizové řízení.
Raději takovéto články vůbec nepište, nebo je nechte napsat nekomu, kdo tomu alespoň trochu rozumí.

Marek #1
Marek 02. říjen 2014 20:22

Nemocnic se zákon vůbec nedotkne !!!! neboť ty nebudou splňovat průřezové podmínky dle vyhlášky. Stačí pročíst. Předpis je takto dokonce záměrně postaven.

RSS 

Komentujeme

Skutečně software pohltí svět?

Pavel Houser , 22. duben 2017 14:00
Pavel Houser

Výrok, podle něhož má software pojídat svět, jako první použil (zřejmě) Marc Andreessen v roce 2011 ...

Více





RSS 

Zprávičky

Řecký soud bude jednat o dvou Češích obviněných ze špionáže

ČTK , 01. květen 2017 08:00

Řecký soud začne ve středu jednat o případu dvou Čechů obviněných ze špionáže, Martin Pezlar a Ivan ...

Více 0 komentářů

Korupční kauzu kolem pošty začne soud řešit v polovině května

ČTK , 30. duben 2017 17:00

Obvodní soud pro Prahu 8 se začne 16. května zabývat korupční kauzou, která souvisí se zajištěním be...

Více 0 komentářů

Tchajwanský Foxconn plánuje investice v USA

ČTK , 30. duben 2017 15:00

Největší smluvní výrobce elektroniky na světě Foxconn, který je známý také pod názvem Hon Hai Precis...

Více 0 komentářů

Starší zprávičky

O2 zvýšila do března čistý zisk o tři procenta na 1,29 miliardy

ČTK , 30. duben 2017 12:00

Operátor O2 zvýšil v prvním čtvrtletí zisk o tři procenta na 1,29 miliardy korun. Konsolidované výno...

Více 0 komentářů

Amazon za čtvrtletí zvýšil tržby i zisk

ČTK , 30. duben 2017 09:00

Čtvrtletní zisk a tržby amerického internetového obchodu Amazon překonaly očekávání. Zisk v prvním k...

Více 0 komentářů

Nintendo hlásí prudký růst tržeb, pomohla nová konzole Switch

ČTK , 29. duben 2017 16:00

Čtvrtletní tržby japonského výrobce videoher Nintendo se díky silné poptávce po nové herní konzoli S...

Více 0 komentářů

Turecko na internetu zablokovalo přístup k Wikipedii

ČTK , 29. duben 2017 13:49

Turecko zablokovalo přístup k Wikipedii - volně přístupné encyklopedii na internetu. Důvodem je obsa...

Více 0 komentářů