AC FORUMzavřít X

Máte dotaz?
Ptejte se v diskusním fóru
ke kybernetickému zákonu.

ZDE

Logo AC

Zákon o
kybernetické bezpečnosti

Vše podstatné k tomu, co přináší nový zákon platný od 1.1.2015

o kybernetické bezpečnosti a o změně souvisejících zákonů
(zákon o kybernetické bezpečnosti)

ČÁST PRVNÍ
KYBERNETICKÁ BEZPEČNOST

Hlava I Základní ustanovení

§1
Předmět úpravy

(1) Tento zákon upravuje práva a povinnosti osob a působnost a pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti.

(2) Tento zákon se nevztahuje na informační nebo komunikační systémy, které nakládají s utajovanými informacemi.

Vymezení pojmů

§2
V tomto zákoně se rozumí

a) kybernetickým prostorem digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, a službami a  sítěmi elektronických komunikací,

b) kritickou informační infrastrukturou prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti,

§3

Orgány a osobami, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti, jsou

a) poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací1), pokud není orgánem nebo osobou podle písmene b)

b) orgán nebo osoba zajišťující významnou síť, pokud nejsou správcem komunikačního systému podle písmene d),

c) správce informačního systému kritické informační infrastruktury,

d) správce komunikačního systému kritické informační infrastruktury a

e) správce významného informačního systému

KYBERNETICKÝ PROSTOR

Jedná se o virtuální oblast, kde pracují, případně spolu prostřednictvím elektronických komunikací komunikují informační systémy, jednotlivé počítače i počítačové sítě. V kybernetickém prostoru jsou zpracovávány a vyměňovány informace a ukládána, sdílena či přenášena data v elektronické podobě.

KRITICKÁ INFORMAČNÍ INFRASTRUKTURA

Jedná se o obdobu kritické infrastruktury, jak ji specifikuje nařízení vlády a krizový zákon, do které je vložen pojem „informační“ a týká se informačních a komunikačních systémů. Narušení funkce systémů určených jako kritická informační infrastruktura by mělo závažný dopad např. na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu.

BEZPEČNOST INFORMACÍ

Znamená zajištění důvěrnosti, integrity a dostupnosti informací, tj. že informace je dostupná v požadovaném čase, v požadovaném rozsahu a požadovaným (oprávněným) uživatelům, je chráněná před neoprávněným přístupem a je v úplné (správné), celistvé a nezměněné podobě.

VÝZNAMNÝ INFORMAČNÍ SYSTÉM

Významný informační systém má zásadní význam pro fungování veřejné správy (dle stávajícího návrhu vyhlášky např. informační systém základních registrů ISZR, samotné základní registry ROB, ROS, RÚIAN a RPP, informační systém datových schránek ISDS, editační agendové IS atd.). Určující kritéria, resp. konkrétní systémy budou definovány připravovanou vyhláškou, na které spolupracují MV a NBÚ.

VÝZNAMNÁ SÍŤ

Pojem významná síť zahrnuje systémy, zařízení a prostředky pro přenos signálů a vysílání, bez ohledu na druh přenášené informace, jejichž prostřednictvím je kybernetický prostor na území České republiky propojen do zahraničí, nebo sítě, která zajišťují připojení kritické informační infrastruktury ke kybernetickému prostoru.

SPRÁVCE INFORMAČNÍHO SYSTÉMU

Správcem IS je v zákoně myšlen subjekt - orgán nebo osoba, které určují účel zpracování informací a podmínky provozování informačního systému.

SPRÁVCE KOMUNIKAČNÍHO SYSTÉMU

Správcem KS je v zákoně myšlen subjekt - orgán nebo osoba, které určují účel komunikačního systému a podmínky jeho provozování.

BEZPEČNOSTNÍ OPATŘENÍ

Zákon dělí bezpečnostní opatření do dvou skupin: technická opatření a organizační opatření. Cílem obou skupin je eliminovat hrozby, resp. rizika, kterými jsou ohroženy (z hlediska dostupnosti, důvěrnosti či integrity) informace, případně informační a komunikační systémy.

Práva a povinnosti osob a OVM1 v oblasti kybernetické bezpečnosti

V kybernetickém zákoně jsou podle aktuálního stavu definovány povinnosti:

Subjekty spravující/zajišťující: Povinnosti: elektronické
komunikace2
významné
sítě3
informační
systémy KII4
Komunikační
systémy KII5
Významné
IS6
hlásit kontaktní údaje
detekovat kybernetické bezpečnostní události    
hlásit kybernetické bezpečnostní incidenty    
zpracovávat bezpečnostní dokumentaci a zavádět bezpečnostní opatření        
provádět opatření vydaná NBÚ    
Subjekty spravující/zajišťující: Povinnosti: elektronické
komunikace2
hlásit kontaktní údaje
detekovat kybernetické bezpečnostní události    
hlásit kybernetické bezpečnostní incidenty    
zpracovávat bezpečnostní dokumentaci a zavádět bezpečnostní opatření    
provádět opatření vydaná NBÚ  
Subjekty spravující/zajišťující: Povinnosti: významné
sítě3
hlásit kontaktní údaje
detekovat kybernetické bezpečnostní události
hlásit kybernetické bezpečnostní incidenty
zpracovávat bezpečnostní dokumentaci a zavádět bezpečnostní opatření    
provádět opatření vydaná NBÚ  
Subjekty spravující/zajišťující: Povinnosti: Komunikační
systémy KII5
hlásit kontaktní údaje
detekovat kybernetické bezpečnostní události
hlásit kybernetické bezpečnostní incidenty
zpracovávat bezpečnostní dokumentaci a zavádět bezpečnostní opatření
provádět opatření vydaná NBÚ
Subjekty spravující/zajišťující: Povinnosti: Významné
IS6
hlásit kontaktní údaje
detekovat kybernetické bezpečnostní události
hlásit kybernetické bezpečnostní incidenty
zpracovávat bezpečnostní dokumentaci a zavádět bezpečnostní opatření
provádět opatření vydaná NBÚ

standardní stav stav kybernetického nebezpečí

1 OVM = orgány veřejné moci, 2 OVM = Poskytovatelé služeb elektronických komunikací a subjekty zajišťující sítě elektronických komunikací, 3 OVM = Subjekty zajišťující významné sítě, 4 Správci informačních systémů zařazených do kritické informační infrastruktury, 5 Správci komunikačních systémů zařazených do kritické informační infrastruktury, 6 Správci významných IS

Vše co vás zajímá k zákonu o kybernetické bezpečnosti

02/02/2016

Soukromá korespondence

Jak bychom měli podle nejnovějšího rozhodnutí Evropského soudu postupovat, resp. můžeme tedy sledovat soukromou korespondenci, když zaměstnanci používají k pracovním účelům své soukromé prostředky (např. mobilní telefony)? Mašek

příspěvků: 2, přejít na fórum
18/01/2016

Prosincová vyhláška MV

Dobrý den, v prosinci 2015 vydalo Ministerstvo vnitra vyhlášku ohledně šifrovacích klíčů. Má nějaký vliv na kybernetický zákon? Děkuji. J. Šťastný

příspěvků: 2, přejít na fórum
29/06/2015

Technické řešení

Dobrý den, ve vyhlášce je uvedeno použití nástroje pro zaznamenávání činnosti informačního systému, který zaznamenává a) přihlášení a odhlášení uživatelů a administrátorů, b) činnosti provedené administrátory, c) činnosti vedoucí ke změně přístupových oprávnění, d) neprovedení činností v důsledku nedostatku přístupových oprávnění a další neúspěšné činnosti uživatelů. Můžete doporučit nějaké technické řešení? Děkuji. V. Karlík

příspěvků: 2, přejít na fórum
15/04/2015

Aplikační bezpečnost - testy

Zdravím, ve vyhlášce je uvedeno, že Orgán a osoba uvedená v § 3 písm. c) až e) zákona provádí bezpečnostní testy zranitelnosti aplikací, které jsou přístupné z vnější sítě. Nemáme na to personál, ani software, můžeme si najmout firmu? D. TM

příspěvků: 2, přejít na fórum
15/04/2015

Metodika

Používáme vlastní metodiku hodnocení aktiv. Musíme ji tedy pro soulad se zákonem změnit? Děkuj. J. Šťastný

příspěvků: 2, přejít na fórum
15/04/2015

Jak začít?

Dobrý den, jak vlastně začít s implementací požadavků Kybernetického zákona. Děkuji.

příspěvků: 2, přejít na fórum

Chcete-li vědět víc, sledujte časté dotazy a odpovědi, zasílejte nám další otázky.

26/2/2015

Můžeme si někde sami zjistit, zda jsme povinným subjektem (ať už spravujeme KII nebo VIS), který musí plnit povinnosti kyberzákona?

NCKB zveřejnilo na svých stránkách metodickou pomůcku, pomocí níž si můžete na tuto otázku odpovědět.

Pro Významné informační systémy ji najdete na tomto odkazu:
http://www.govcert.cz/cs/kii--vis/vyznamne-informacni-systemy/

Pro Kritickou informační infrastrukturu ji najdete na tomto odkazu:
http://www.govcert.cz/cs/kii--vis/kriticka-informacni-infrastruktura/

2/1/2015

Jak, resp. kde najdeme zmiňované prováděcí předpisy ke kyberzákonu?

Všechny prováděcí předpisy k zákonu č. 181/2014 Sb., o kybernetické bezpečnosti, které platí stejně jako zákon od 1. 1. 2015, dostaly konečně také svá čísla a dne 19. 12. 2014 byly uveřejněny ve Sbírce zákonů v částce 127 pod tímto označením:

317/2014 Vyhláška o významných informačních systémech a jejich určujících kritériích

316/2014 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)

315/2014 Nařízení vlády, kterým se mění nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury

18/12/2014

Kolik vyhlášek má kybernetický zákon? Kde je najdu v platném znění?

Kybernetický zákon má dva prováděcí předpisy:
1. Vyhláška o významných informačních systémech a jejich určujících kritériích
2. Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)

S kybernetickým zákonem dále souvisí následující úprava:
3. Nařízení vlády, kterým se mění nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury

Poslední aktuální odkazy konečné podoby těchto předpisů tak, jak budou publikovány ve sbírce zákonů s účinností od 1. 1. 2015, najdete zde

16/10/2014

Může informační systém, jehož správcem je obec III. stupně, být významným IS podle kyberzákona?

Podle vyjádření NBÚ a návrhu vyhlášky z 8. 10. 2014, na kterém tento úřad spolupracuje s MV, jsou „z oblasti významných informačních systémů přímo vyhláškou vyloučeny informační systémy obcí a informační systémy hlavního města Prahy, pokud jsou používány při výkonu jeho vlastní působnosti.

30/6/2014

Nemáme certifikovaný systém bezpečnosti podle normy. Musíme mít certifikaci, abychom vyhověli požadavkům kybernetického zákona?

Certifikace v aktuální verzi připravovaného zákona, potažmo prováděcího předpisu, není podmínkou. Může však významně přispět jak k celkové úrovni bezpečnosti informací ve vaší organizaci, tak usnadnit, příp. urychlit úspěšné ověření splnění požadavků zákona, pokud se certifikovaný systém řízení bezpečnosti informací vztahuje i na KII nebo VIS, jehož jste správci.