facebook
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
Nové!

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 
Nové!

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 
Nové!

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 

Pokročilá analýza provozu datových sítí

V tomto čtyřdílném seriálu vás seznámíme s různými metodami a přístupy...

1. až 4. díl >>

 

Cesta k efektivnímu identity managementu

Správa identit a přístupů (IAM) je klíčová oblast pro zaručení bezpečnosti...

1. až 9. díl >>

IT SYSTEMS 3/2015 , IT Security , IT právo

Právní aspekty přijetí zákona o kybernetické bezpečnosti



Jansa, Mokrý, Otevřel & partneři v.o.s.Nikomu, kdo se pohybuje v oblasti IT, v uplynulých měsících patrně neunikl zákon č. 181/2014 Sb. o kybernetické bezpečnosti, přijatý v roce 2014 a účinný od 1.1.2015 (dále jen „zákon“). Jeho přijetí vzbudilo značný ohlas odborné veřejnosti hned z několika důvodů – dle mého názoru jsou těmi nejdůležitějšími zejména obtížná identifikace osob, na něž zákon ve skutečnosti dopadá, a dále přenechání úpravy poměrně značné části klíčových záležitostí (včetně zásadních otázek majících vliv na stanovení osobní působnosti a obsah některých klíčových pojmů), podzákonným předpisům, konkrétně dvěma vyhláškám a jednomu nařízení vlády. Cílem tohoto článku je nastínit hlavní východiska ke stanovení okruhu dotčených osob a vysvětlit základní pojmy v zákoně použité.


Působnost zákona

Hlavním důvodem přijetí zákona bylo dle důvodové zprávy vyhodnocení dosavadního stavu, kdy ochrana kybernetického prostoru byla vykonávána vesměs osobami soukromého práva bez jednotné regulace, potřebné koordinace informací a institucionálního dohledu, jakožto nežádoucího a nezajišťujícího ochranu právu osob na informační sebeurčení (pod nímž lze rozumět nerušený výkon práva na aktivní přijímání, zpracovávání a odesílání informací konkrétní fyzickou osobou). V důvodové zprávě vláda výslovně poukazuje na DDoS útoky na zpravodajské servery, bankovní a finanční instituce, stránky telekomunikačních operátorů a dalších subjektů z března 2014, kdy sice každý z napadených subjektů měl informace o intenzitě a následcích útoku na svém vlastním serveru, nicméně tyto informace napadené subjekty nijak nesdílely a nebylo tak možné je v reálném čase vyhodnocovat a přijmout ochranná opatření. Každý informační a komunikační systém je spravován jiným správcem, v odlišných právních režimech, a tudíž jejich společný postup v kritických situacích nelze (dle důvodové zprávy) zajistit jinak než zákonem. Od přijetí zákona si tak vláda slibuje lepší evidenci, reporting, sdílení informací a tím pádem včasnější a efektivnější zásahy proti obdobným útokům.

Značnou známost získaly institucionální změny, které zákon přináší – jsou zavedena dohledová pracoviště v podobě vládního a národního CERT (neboli „Computer Emergency Response Team“), přičemž vládní CERT je provozován přímo Národním centrem kybernetické bezpečnosti, tvořícím součást Národního bezpečnostního úřadu (NBU), a národní CERT s poněkud odlišnými pravomocemi je provozován sdružením NIC.cz na základě dohody (memoranda) uzavřené s NBU.

K označení dotčených subjektů zákon používá termín „orgány a osoby v oblasti kybernetické bezpečnosti“, přičemž se vždy musí jednat o orgány a osoby spravující dostatečně důležité komunikační nebo informační systémy a sítě, které splňují stanovená kritéria. Nikdy se nejedná o uživatele, ani o poskytovatele obsahu v informační společnosti (tzv. ISP ve smyslu, jak je chápe zákon č. 480/2004 Sb. o některých službách informační společnosti). Zákon žádným způsobem nereguluje obsah přenášených informací, a nevztahuje se tudíž na otázky počítačové kriminality, softwarového pirátství, nelegálního šíření autorských děl, dětské pornografie apod. V rámci plnění kontrolních pravomocí tak stát v žádném okamžiku nemá na základě zákona možnost jakkoli kontrolovat obsah informací přenášených prostřednictvím informačních sítí (které již samy o sobě předmětem regulace jsou).

Vymezení regulovaných subjektů

Kdo jsou tedy subjekty, na něž zákon dopadá? Obecně řečeno se jedná o subjekty spravující specifické informační a komunikační systémy. Významným kritériem pro stanovení okruhu dotčených osob je, zda je dán stav kybernetického nebezpečí. Za standardní situace dopadají přímé povinnosti dle zákona pouze na subjekty, jejichž systémy, sítě nebo služby mají zásadní význam pro fungování státu nebo informační společnosti. Pouze v případě kybernetického nebezpečí je tento okruh osob rozšířen i na ostatní poskytovatele služeb a správce systémů a sítí.

Lze tak rozlišit dvě skupiny dotčených osob. Tou první, které se zákon dotýká pouze okrajově a v přesně stanovených situacích, jsou poskytovatelé služeb elektronických komunikací a subjekty zajišťující sítě elektronických komunikací, jak je vymezuje zákon o elektronických komunikacích, které jsou povinny „pouze“ nahlásit národnímu dohledovému pracovišti (národnímu CERT) kontaktní údaje a jejich následné změny a za stavu kybernetického nebezpečí nebo za nouzového stavu přijmout reaktivní opatření ve smyslu § 11 zákona. Do tohoto okruhu méně dotčených osob patří rovněž subjekty zajišťující tzv. významné sítě, pod nimiž je nutno rozumět páteřní sítě propojující český kybernetický prostor se zahraničím nebo zajišťující přímé připojení ke kritické informační infrastruktuře – tyto osoby mají nadto povinnost zjišťovat kybernetické bezpečnostní události a hlásit kybernetické bezpečnostní incidenty.

Do druhé skupiny osob, na něž zákon dopadá v celé své šíři, patří správci informačních systémů kritické informační infrastruktury, správci komunikačních systémů kritické informační infrastruktury a správci významných informačních systémů. Tyto osoby jsou (vedle povinností uvedených výše) povinny plnit informační povinnosti vůči vládnímu CERT, zavádět bezpečnostní opatření a provádět opatření v rozsahu dle zákona. Je nutno poznamenat, že za „správce“ je pro účely působnosti zákona považována osoba, která určuje účel zpracování informací a podmínky provozování komunikačního nebo informačního systému. Správcem tedy není například soukromá osoba provozující infomační systém v elektrárně nebo na letišti a zajišťující jeho chod a podporu, ale je jím samotný provozovatel elektrárny nebo letiště. Provozovatel takového informačního systému může maximálně spadat do první (méně dotčené) skupiny osob, za předpokladu, že je provozovaný systém považován za významnou síť.

Vymezení regulovaných subjektů v prováděcích předpisech

Bližší vymezení těchto subjektů nalezneme v prováděcích předpisech, jejichž přijetí na sebe nechalo poměrně dlouho čekat. K personální působnosti zákona se vztahují vyhláška č. 317/2014 Sb. o významných informačních systémech a jejich určujících kritériích, a dále nařízení č. 315/2014 Sb., kterým se mění nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury. Vyhláška o významných informačních systémech jednak přímo vyjmenovává konkrétní informační systémy (např. Czech Point, Informační systém datových schránek, Informační systém registru obchodního rejstříku nebo Informační systém Rejstříku trestů), a jednak stanoví obecná tzv. dopadová a oblastní určující kritéria pro identifikaci významného informačního systému. Je nutno poznamenat, že tato vyhláška se týká výhradně informačních systémů spravovaných orgány veřejné moci, nespadají pod ni žádné soukromé osoby.

Definice podmínek aplikace zákona uvedená v nařízení vlády č. 315/2014 o kritériích pro určení prvku kritické infrastruktury (kterým se mění nařízení vlády č. 432/2010 Sb. o kritériích pro určení prvku kritické infrastruktury) je poněkud odlišná a soukromé osoby se jí nevyhnou. Toto nařízení je prováděcím předpisem širšího dopadu, protože stanoví prvky kritické infrastruktury pro účely zákona č. 240/2000 Sb., o krizovém řízení. Konkrétní osoby nebo prvky technické infrastruktury opět nejsou v tomto nařízení identifikovány konkrétně, ale jsou stanovena kritéria pro jejich určení – často je například pro zdravotnická zařízení uváděno kritérium počtu alespoň 2500 lůžek, čehož však aktuálně žádná nemocnice v České republice nedosahuje. Ve vztahu k zákonu a k definici pojmu „kritická informační infrastruktura“ je relevantní část VI. (Komunikační a informační systémy), bod G (Oblast kybernetické bezpečnosti). Tento bod obsahuje pět kritérií, podle nichž se například za prvek kritické infrastruktury považuje „informační systém spravovaný orgánem veřejné moci obsahující osobní údaje o více než 300 000 osobách”, anebo „komunikační systém, zajišťující připojení nebo propojení prvku kritické infrastruktury, s kapacitou garantovaného datového přenosu nejméně 1 Gbit/s”. Důležitým kritériem je poslední, uvedené pod písm. f), které rozšiřuje aplikaci předchozích odvětvových kritérií prvku kritické infrastruktury, stanovené pro účely zákona o krizovém řízení (např. Technologické prvky pevné sítě elektronických komunikací, Technologické prvky pro satelitní komunikaci nebo Technologické prvky sítí pro rozhlasové a televizní vysílání) i na oblast kybernetické bezpečnosti, pokud je ochrana prvku naplňujícího tato kritéria nezbytná pro zajištění kybernetické bezpečnosti.

Závěr

Většina soukromoprávních subjektů bude spadat do výše zmíněné první skupiny osob s užším okruhem povinností, které v současné době stíhá jedna povinnost – do 30 dní od nabytí účinnosti zákona (tedy do 30.1.2015) nahlásit své kontaktní údaje národnímu CERT, k čemuž lze využít kontaktní formulář přístupný na stránce https://www.csirt.cz/contactreport/. Všechny subjekty provozující informační a komunikační systémy by měly vyhodnotit, zda na ně zákon dopadá a pokud ano, do které ze skupin dotčených subjektů patří, aby mohly včas přijmout potřebná opatření. Vzhledem k obtížné pochopitelnosti rozsahu působnosti zákona i prováděcích předpisů však může být vhodné provedení odborné analýzy se zvážením konkrétních podmínek týkajících se daného subjektu.

Petr Mališ, Jansa, Mokrý, Otevřel & partneři v.o.s. Petr Mališ
Autor článku, Mgr. et Mgr. Petr Mališ, je advokát, který působí v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, ochrannými známkami, doménami a rovněž právní úpravou platebního styku.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.


Inzerce

Využijte příležitosti a připravte své zákazníky na kybernetické hrozby

Sophos NEXT-GEN IT SecurityUž nyní se setkáváme s názorem, že letošní rok je rokem ransomware. A není se čemu divit. Počet a především míra úspěšnosti ransomware útoků výrazně roste, a cílem se vedle běžných koncových uživatelů stále častěji stávají i velké organizace, u kterých se sice předpokládá určitá míra zabezpečení, ale u kterých praxe ukazuje, že zabezpečení jejich IT infrastruktury dostatečné není.