Porovnání aktuálních a nových povinností v návrhu zákona o kybernetické bezpečnosti
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) připravil nový návrh zákona o kybernetické bezpečnosti, který přináší řadu změn a nových povinností pro subjekty v České republice. Tento článek se zaměřuje na porovnání aktuálního stavu s navrhovanými změnami.
Současný stav
Povinnosti dle zákona č. 181/2014 Sb.:
- Identifikace regulovaných služeb: Kritéria pro identifikaci jsou definována zákonem a vyhláškami.
- Řízení aktiv: Povinnost řídit aktiva platí pouze pro poskytovatele v režimu vyšších povinností.
- Bezpečnostní opatření: Stanovena minimální bezpečnostní opatření pro různé sektory, avšak nejsou dostatečně rozšířena na digitální infrastrukturu.
- Stav kybernetického nebezpečí: Doba trvání je omezená a podmínky pro vyhlášení jsou relativně komplikované.
- Prověřování dodavatelských řetězců: V současnosti není detailně upraveno.
Nový návrh zákona (nZkB)
Rozšíření kritérií pro identifikaci regulovaných služeb:
- Definice odvětví a velikosti podniku: Nově odkazuje na stávající dokumenty EU, které definují odvětví, ve kterém je služba provozována, a velikost podniku jakožto poskytovatele regulované služby.
- Význam služby pro zabezpečení důležitých společenských nebo ekonomických činností: Návrh nZkB nyní přímo zmiňuje i tento aspekt.
Řízení aktiv pro poskytovatele v režimu nižších povinností:
- Nová povinnost: Řízení aktiv bylo přidáno i pro poskytovatele regulovaných služeb v režimu nižších povinností, což posiluje celkovou úroveň kybernetické bezpečnosti.
Bezpečnostní opatření pro digitální infrastrukturu:
- Rozšířená sekce: Přibylo více služeb do tohoto odvětví a definována minimální bezpečnostní opatření dle legislativy EU.
- Nahlašovací povinnost: Poskytovatelé těchto služeb musí hlásit všechny kybernetické bezpečnostní incidenty s významným dopadem.
Stav kybernetického nebezpečí:
- Zjednodušení podmínek: Pro vyhlášení stavu kybernetického nebezpečí byly podmínky zjednodušeny a doba trvání prodloužena na 60 dní, s možností dalšího prodloužení skrze nouzový stav.
- Nová opatření: Ředitel NÚKIB může nařídit pracovní pohotovost konkrétním zaměstnancům a pověřit média k uveřejnění informací o stavu kybernetického nebezpečí.
Prověřování dodavatelských řetězců:
- Detailní úprava: Nový zákon zahrnuje mechanismus pro prověřování dodavatelských řetězců, což je klíčové zejména pro kritickou infrastrukturu.
- Bezpečnost
Vyhlášky o bezpečnostních opatřeních
- Technická a organizační bezpečnostní opatření
- Stanovení významnosti dopadu kybernetického bezpečnostního incidentu
- Podrobnosti k likvidaci dat
Kritika a reakce
Kritika současného návrhu:
- Prováděcí předpisy: Kritika směřuje k tomu, že mnoho povinností je zakotveno v prováděcích vyhláškách, nikoliv přímo v zákoně. To bylo jedním z důvodů, proč Legislativní rada vlády návrh vrátila k přepracování.
- Prověřování dodavatelských řetězců: Tento bod zůstává kontroverzní, s kritikou, že jde nad rámec požadavků směrnice NIS2.
Reakce NÚKIB:
- Zapracování připomínek: NÚKIB zapracoval připomínky obdržené během veřejných konzultací a připomínkového řízení.
- Důraz na bezpečnost: NÚKIB zdůrazňuje, že nové právní úpravy jsou nezbytné pro posílení kybernetické bezpečnosti a ochranu kritické infrastruktury (NUKIB).
Závěr
Nový návrh zákona o kybernetické bezpečnosti přináší významné změny a rozšířené povinnosti pro regulované subjekty. I přes kritiku a nutnost přepracování některých částí návrhu je zřejmé, že cílem je zvýšit úroveň kybernetické bezpečnosti v České republice. Zákon by měl vstoupit v účinnost v říjnu 2024, kdy končí transpoziční lhůta pro přijetí směrnice NIS2.
Zdroje
- https://www2.deloitte.com/cz/cs/pages/risk/articles/nis2-directive-and-the-new-cybersecurity-act.html
- https://osveta.nukib.gov.cz/course/view.php?id=145
- https://nukib.gov.cz/cs/infoservis/aktuality/2064-nukib-odeslal-navrh-noveho-zakona-o-kyberneticke-bezpecnosti-legislativni-rade-vlady/
- https://www.irozhlas.cz/veda-technologie/technologie/bianko-sek-pro-kyberneticky-urad-vadi-novy-zakon-zastupci-operatoru-zaruci_2404020010_mst
- https://osveta.nukib.gov.cz/course/view.php?id=145
- https://nukib.gov.cz/cs/kyberneticka-bezpecnost/regulace-a-kontrola/legislativa/