facebook LinkedIN LinkedIN - follow
Aktuality -> IT Business - 20. 1. 2015

Nový kybernetický zákon v praxi

Zákon o kybernetické bezpečnosti, který platí od ledna 2015, konečně dostal tři dlouho očekávané vyhlášky. Přitom jedna z nich je zásadní a současně nejvíce problematická. Týká se významných informačních systémů a má upravovat, na koho se bude nová legislativa vztahovat. „Znění této vyhlášky je natolik vágní, že si na tuto otázku dodnes neumí s jistou odpovědět mnozí zástupci soukromých firem a totéž platí u orgánů veřejné správy. První problém může nastat už na konci ledna, dokdy mají dotčené subjekty povinnost nahlásit vládnímu CERTu své kontaktní údaje i zodpovědnou osobu pro oblast kybernetické bezpečnosti,“ upozorňuje Jakub Kejval, generální ředitel společnosti Bureau Veritas. Zbylé dvě vyhlášky pak definují povinnosti, které musí dotčené orgány plnit v oblasti ochrany dat před kybernetickými útoky a stanovují i lhůty, dokdy tak mají učinit.



„Mnoho soukromých firem nás kontaktuje s dotazem, zda se na ně vůbec vztahuje nový kybernetický zákon, potažmo nejproblematičtější vyhláška o významných informačních systémech. Podnikatelskou sféru mohu uklidnit, protože tento předpis je určen pouze ministerstvům, krajským úřadům a dalším orgánům veřejné moci. Přesto však firmám doporučuji, aby se seznámily s nařízením vlády č. 315/2014 Sb. a ověřily si, zda nespadají do prvků takzvané kritické infrastruktury,“ říká Jakub Kejval. „Týká se to například bank či pojišťoven s tržním podílem nad 10 %. Platí i pro soukromé zemědělce v případě, že hospodaří na půdě s výměrou nejméně 4 tisíce hektarů pro jednotlivou plodinu atd.,“ dodává ředitel společnosti, která se zabývá udělováním certifikátů managementu bezpečnosti informací podle ISO 27001.

 

Vyhláška o významných informačních systémech uvádí v příloze taxativně 92 významných informačních systémů orgánů veřejné moci. Dále však přichází s dopadovými a oblastními kritérii, přičemž naplnění určujících kritérií významného informačního systému nechává na posouzení správci tohoto systému. Právě zde může vyvstat mnoho nejasností. „Orgány veřejné moci se musí v těchto dvou prováděcích předpisech zorientovat a samy posoudit, zda parametry naplní, a to není tak snadné. Některá kritéria jsou navíc úsměvná, například zdravotnické zařízení, jehož celkový počet akutních lůžek je nejméně 2500. Taková nemocnice v Česku neexistuje, největší nemocnice VFN v Praze má 1 500 lůžek,“ podotýká Jakub Kejval.

 

Subjekty, na které se vztahuje vyhláška, mají povinnost nahlásit nejpozději do 31. ledna 2015 své kontaktní údaje vládnímu CERTu. Je třeba vyplnit poměrně jednoduchý formulář pro hlášení kontaktních údajů, který je v příloze č. 7 k vyhlášce č. 316/2014 Sb. „V části C tohoto formuláře nejde jen o kontaktní osobu, ale zároveň také o osobu oprávněnou jednat za danou organizaci ve věci kybernetické bezpečnosti. Tuto roli tedy nelze narychlo svěřit asistentkám, jak některé subjekty předpokládaly a chtěly tak učinit. Podle §6 odst. 2 a 4 této vyhlášky jde o "Manažera kybernetické bezpečnosti", kterým může být pouze osoba, odpovědná za systém řízení bezpečnosti informací, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením bezpečnosti informací po dobu nejméně tří let,“ upozorňuje Jakub Kejval z Bureau Veritas.

 

Povinné subjekty musí mít zavedeny bezpečnostní opatření vyplývající z nových vyhlášek nejpozději k 1. lednu 2016. S jistotou se to týká například většiny ministerstev, Generálního finančního ředitelství, Státního úřadu pro kontrolu léčiv, Všeobecné zdravotní pojišťovny, České národní banky a dalších. „Roční lhůta je ještě zvládnutelná, ale za podmínky nasazení velkého úsilí a statisícových částek. Zejména státní správa bude mít problém najít ve svých osekaných rozpočtech nemalé finanční prostředky a rychle je uvolnit. I přes některé nejasnosti je ale určitě dobře, že kybernetický zákon máme a konečně i včetně prováděcích předpisů. Praxe nejbližších dvou let snad prokáže jeho životaschopnost a po této době bude na místě zákonné předpisy novelizovat,“ uzavírá generální ředitel společnosti Bureau Veritas Jakub Kejval.


 
  

- Inzerce -

Webinář: „6 pohledů na bezpečné IT nemocnic“

webinarZaregistrujte se na online webinář, určený nejen IT managerům nemocnic. Dozvíte se v něm vše o zabezpečení uživatelských identit, vícefaktorovém přihlášení či ochraně infrastruktury a cloudů. Akce se koná v úterý 25. května, od 10:00 do 11:30 hod.

  

- Inzerce -

GFI Unlimited Network Security

Vícevrstvé zabezpečení sítě


Jsou dvě oblasti, které letos budou pro obchodní kontinuitu malých a středních firem (SMB) kriticky důležité: bezpečnost firemních sítí a elektronické pošty. Podle odhadů společnosti GFI Software přibližně 66 % SMB firem dnes čelí kybernetickým útokům a mnoho z nich tento souboj prohrává, protože mylně předpokládají zájem útočníků o větší společnosti.

Helios
- inzerce -