Co bude znamenat zákon o kybernetické bezpečnosti pro firmy?

ITbiz.cz, 29. srpen 2014 11:22 2 komentářů
Co bude znamenat zákon o kybernetické bezpečnosti pro firmy?

Od ledna 2015 začne v České republice zřejmě platit nový zákon o kybernetické bezpečnosti, díky kterému by měl být stát odolnější vůči případným elektronickým útokům na důležité počítačové systémy v zemi. Normu, kterou vytvořil Národní bezpečnostní úřad, schválili poslanci i senátoři a 13. srpna ji podepsal i prezident Miloš Zeman. Novým zákonem se budou muset řídit úřady i některé soukromé firmy. Koho přesně se zákon dotkne, jaké konkrétní kroky bude třeba podniknout a kolik bude zavedení nových pravidel stát?

Zákon o kybernetické bezpečnosti, který má vstoupit v platnost k 1. 1. 2015, se v Česku připravuje již poměrně dlouhou dobu. Málokdo dnes například tuší, že začal vznikat ještě dávno před tzv. „Talinským manuálem“ kybernetické obrany, který vymezuje rámec pro kybernetické válčení a prevenci před útoky pro země NATO. Pracuje se na něm de facto již od října roku 2011, kdy usnesením vlády č. 781/2011 přešla gesce v oblasti kybernetické bezpečnosti z pasivního resortu vnitra na samostatně fungující jednotku jménem Národní bezpečnostní úřad.

Tíha zákona se dotkne především ISP providerů, TELCO operátorů, majitelů telehousů a dalších provozovatelů významných IT infrastruktur, kteří nově budou muset monitorovat a hlásit bezpečnostní incidenty. Zároveň se značně posílily pravomoce národního centra kybernetické bezpečnosti (CERT), které bude informace analyzovat a vyhodnocovat.

Proč byl zákon potřeba?

S rychlým rozvojem informačních technologií a další integrací nových počítačových systémů se výrazně zvyšuje i riziko elektronického útoku. Na složitých počítačových sítích jsou dnes závislé prakticky všechny obory důležité pro bezchybný a hlavně bezpečný chod státu. Na IT systémech závisí ekonomika jako celek; doprava, energetika a další strategická odvětví. Evropská unie proto vydala směrnici, podle níž by měly všechny členské státy zvýšit svoji schopnost odolávat případným útokům na kybernetické úrovni.

Svou sílu demonstrovali hackeři a jejich programy určené proti celé řadě cílů po celém světě. Podobných útoků přitom každoročně přibývá a škody se pohybují v řádech stovek milionů dolarů. Není výjimkou, že profesionálně navržený počítačový vir dokáže vyřadit z provozu nejen počítačové sítě. Česko zažilo jeden z největších elektronických útoků na jaře 2013, kdy hackeři vyřadili pomocí takzvaného „přehlcení“ počítačových systémů několik tuzemských zpravodajských serverů a internetových systémů českých poboček bankovních domů a mobilních operátorů.

Principy Zákona o kybernetické bezpečnosti v kostce

Primárním úkolem první podobné legislativní úpravy v historii Česka je sjednocení elektronické komunikace. Sjednotit by se tak měla výměna informací nejen ve státní, ale částečně i soukromé sféře; zákon přímo stanovuje i jejich vzájemné dorozumívání. Kontrolní i exekutivní pravomoci má mít centrální orgán (Národní centrum kybernetické bezpečnosti CERT se sídlem v Brně). Aktivovat a hlavně sjednotit by se tak měla dnes pasivní počítačová ochrana státu a Česko by tak mělo být schopno nejen snadněji rozpoznat, ale přímo aktivně bojovat s útoky na elektronické úrovni. Lepší ochrany by se tak mohla dočkat i osobní data občanů registrovaných například na úřadech nebo bankách. Pomoci by měl nový zákon – podle jeho navrhovatelů – i samotné české ekonomice – měl by totiž zatraktivnit tuzemské prostředí pro zahraniční investice (nejen IT), na druhé straně by měl podporovat světově uznávané české dodavatele ICT technologií.

Kontroverzní body

Přesto, že zákon teprve čeká na podpis prezidenta a platit by měl začít až od ledna příštího roku, už teď se na něj obrací kritika řady odborníků. Podle nich není – mimo jiné - v zákoně zcela jasně stanoveno, kdo a jakým konkrétním způsobem se jím bude muset řídit. Zákon je postaven na třech pilířích: bezpečnostní opatření, hlášení kybernetických bezpečnostních incidentů a protiopatření (reakce na incidenty). Odpůrci zákona se nejčastěji bojí třetího pilíře, že zákon dává státu velkou moc regulovat informační sektor a že by mohl odposlouchávat či přímo odpojovat nepohodlné osoby či organizace.

Zásadnější změny v koncepci zákona, směřující zejména k oslabení role národního CERTu, sice jistí poslanci navrhli, ale ani jeden z návrhů neprošel. Zástupci komerčního segmentu jsou navíc nervouní také ze zcela jiných důvodů: „Jsou zde i jiná rizika, já osobně se mnohem více bojím toho, že zákon by měl nabýt účinnosti již 1. 1. 2015, přičemž dotčené subjekty budou mít pouze půl roku na to, uvést svůj systém bezpečnosti informací plně v soulad se zákonem,“ komentuje například Jakub Kejval, ředitel české pobočky certifikační společnosti Bureau Veritas.


Komentáře

Vladimír #1
Vladimír 02. září 2014 11:26

Ach jo, to je zase článek. Prosím vás, přestaňte si plést platnost a účinnost zákona, účinnost je totiž až o půl roku déle. A bohužel většina ostatních informací je ve stejném duchu - nepřesné, zavádějící a bohužel i úplně lživé. Např. zde nejsou vůbec zmiňované prováděcí předpisy, kterými se jednak přesně definují jednotlivé požadavky (podle ISO 27000) na bezpečnost a jednak se také stanoví okruh dotčených osob. Nebo tvrzení že se to především dotkne telekomunikačních operátorů - nedotkne, protože ty jsou už dávno na to připravené a požadavky splňují. Koho se to však dotkne ve velké míře jsou především státní orgány, které poskytují veřejnou službu a přitom na bezpečnost zatím ani nehrábly, ale stejně tak třeba dráhy, energetika, nemocnice - prostě spousta firem, které spadají pod zákon 240/2000 Sb - krizové řízení.
Raději takovéto články vůbec nepište, nebo je nechte napsat nekomu, kdo tomu alespoň trochu rozumí.

Marek #1
Marek 02. říjen 2014 20:22

Nemocnic se zákon vůbec nedotkne !!!! neboť ty nebudou splňovat průřezové podmínky dle vyhlášky. Stačí pročíst. Předpis je takto dokonce záměrně postaven.

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







Kalendář

24. 10. VeeamON Forum 2017
25. 10.

26. 10.
Profesia days 2017
26. 10. Acronis Roadshow 2017
RSS 

Zprávičky

Electro World v účetním roce zmírnil ztrátu na 92 milionů Kč

ČTK , 20. říjen 2017 12:00

Firma se soustředila na zlepšení prodejní a distribuční sítě a rozšíření sortimentu....

Více 0 komentářů

Dohoda o ochraně dat mezi EU a USA prošla první kontrolou

ČTK , 20. říjen 2017 08:00

Cílem dohody je chránit osobní údaje osob v EU předávané společnostem v USA. ...

Více 0 komentářů

Operátoři: Metro by mohlo být signálem pokryté do konce roku 2018

ČTK , 20. říjen 2017 08:00

Operátoři mají enormní zájem na pokrytí pražského metra, a to na vlastní náklady....

Více 0 komentářů

Starší zprávičky

Firmu Moravia IT koupil britský konkurent RWS Holding

ČTK , 19. říjen 2017 21:26

Mezi zákazníky firmy specializující se na lokalizaci a testování softwaru patří např. Microsoft, IBM...

Více 0 komentářů

Státní ústav pro kontrolu léčiv hájí elektronické recepty

ČTK , 19. říjen 2017 10:00

V ČR se vydá 60-70 milionů papírových receptů ročně. Podle ministerstva je elektronizace zdravotnict...

Více 0 komentářů

Ransomware Locky v září masivně útočil ve světě i v ČR

Pavel Houser , 19. říjen 2017 09:30

Locky se neobjevil v Top 10 škodlivých kódů od listopadu 2016....

Více 0 komentářů

Podnikové služby tvoří už 5 % českého HDP

Pavel Houser , 19. říjen 2017 09:00

Podnikové služby v ČR rostly o 19 %, největší boom zažívají centra poskytující IT služby....

Více 0 komentářů