„Mnoho soukromých firem nás kontaktuje s dotazem, zda se na ně vůbec vztahuje nový kybernetický zákon, potažmo nejproblematičtější vyhláška o významných informačních systémech. Podnikatelskou sféru mohu uklidnit, protože tento předpis je určen pouze ministerstvům, krajským úřadům a dalším orgánům veřejné moci. Přesto však firmám doporučuji, aby se seznámily s nařízením vlády č. 315/2014 Sb. a ověřily si, zda nespadají do prvků takzvané kritické infrastruktury,“ říká Jakub Kejval. „Týká se to například bank či pojišťoven s tržním podílem nad 10 %. Platí i pro soukromé zemědělce v případě, že hospodaří na půdě s výměrou nejméně 4 tisíce hektarů pro jednotlivou plodinu atd.,“ dodává ředitel společnosti, která se zabývá udělováním certifikátů managementu bezpečnosti informací podle ISO 27001.

Vyhláška o významných informačních systémech uvádí v příloze taxativně 92 významných informačních systémů orgánů veřejné moci. Dále však přichází s dopadovými a oblastními kritérii, přičemž naplnění určujících kritérií významného informačního systému nechává na posouzení správci tohoto systému. Právě zde může vyvstat mnoho nejasností. „Orgány veřejné moci se musí v těchto dvou prováděcích předpisech zorientovat a samy posoudit, zda parametry naplní, a to není tak snadné. Některá kritéria jsou navíc úsměvná, například zdravotnické zařízení, jehož celkový počet akutních lůžek je nejméně 2500. Taková nemocnice v Česku neexistuje, největší nemocnice VFN v Praze má 1 500 lůžek,“ podotýká Jakub Kejval.

Subjekty, na které se vztahuje vyhláška, mají povinnost nahlásit nejpozději do 31. ledna 2015 své kontaktní údaje vládnímu CERTu. Je třeba vyplnit poměrně jednoduchý formulář pro hlášení kontaktních údajů, který je v příloze č. 7 k vyhlášce č. 316/2014 Sb. „V části C tohoto formuláře nejde jen o kontaktní osobu, ale zároveň také o osobu oprávněnou jednat za danou organizaci ve věci kybernetické bezpečnosti. Tuto roli tedy nelze narychlo svěřit asistentkám, jak některé subjekty předpokládaly a chtěly tak učinit. Podle §6 odst. 2 a 4 této vyhlášky jde o "Manažera kybernetické bezpečnosti", kterým může být pouze osoba, odpovědná za systém řízení bezpečnosti informací, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením bezpečnosti informací po dobu nejméně tří let,“ upozorňuje Jakub Kejval z Bureau Veritas.

Povinné subjekty musí mít zavedeny bezpečnostní opatření vyplývající z nových vyhlášek nejpozději k 1. lednu 2016. S jistotou se to týká například většiny ministerstev, Generálního finančního ředitelství, Státního úřadu pro kontrolu léčiv, Všeobecné zdravotní pojišťovny, České národní banky a dalších. „Roční lhůta je ještě zvládnutelná, ale za podmínky nasazení velkého úsilí a statisícových částek. Zejména státní správa bude mít problém najít ve svých osekaných rozpočtech nemalé finanční prostředky a rychle je uvolnit. I přes některé nejasnosti je ale určitě dobře, že kybernetický zákon máme a konečně i včetně prováděcích předpisů. Praxe nejbližších dvou let snad prokáže jeho životaschopnost a po této době bude na místě zákonné předpisy novelizovat,“ uzavírá generální ředitel společnosti Bureau Veritas Jakub Kejval.