Města, obce a zákon o kybernetické bezpečnosti
K 1.1.2015 vstoupil v platnost zákon o kybernetické bezpečnosti č. 181/2014 Sb., a jeho prováděcí předpisy. Jsou jimi:
- vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) a
- vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích.
Vyhláška č. 317/2014 Sb., v § 3, bodu (2) uvádí, že významným informačním systémem není informační systém, jehož správcem je obec (viz zákon č. 128/2000 Sb., o obcích) a hlavní město Praha při výkonu působnosti obce. Pro obec se tak může stát zákon o kybernetické bezpečnosti závazným pouze v tom případě, že by obec sama provozovala kritickou informační infrastrukturu.
Z výše uvedeného se může zdát, že stát vyhodnotil, že na městech a obcích nemůže nastat taková kybernetická bezpečnostní událost, která by mohla stát ohrozit, a proto není třeba kybernetickou bezpečnost na městech a obcích řešit. To však je zásadní omyl.
Z výše uvedeného pouze vyplývá, že stát nebude na městech a obcích kontrolovat a striktně vyžadovat pod zákonnou sankcí přesné dodržování požadavků na kybernetickou bezpečnost daných zákonem o kybernetické bezpečnosti.
A jak tedy lze ke kybernetické bezpečnosti na městech a obcích přistupovat?
Zkusme vyjít ze základní premisy, že město nebo obec je zapojeno do krizového řízení dle zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon). Tento zákon ve svém prováděcím předpisu č. 432/2010 Sb., Nařízení vlády o kritériích pro určení prvku kritické infrastruktury uvádí průřezová a odvětvová kritéria, která stanovují, co je kritická infrastruktura.
Jedním z odvětvových kritérií je i odvětví „VI. Komunikační a informační systémy“, které právě svými požadavky pokrývá zákon o kybernetické bezpečnosti. Z toho lze dovodit, že pokud pro krizové řízení na městech a obcích používám jakékoli ICT prostředky (informační a komunikační systémy, mezi které patří telefony, počítače, datové a hlasové sítě atd.), které jsou pro krizové řízení dle zákona nezbytné, používám ICT prostředky kritické informační infrastruktury, na které se zákon o kybernetické bezpečnosti vztahuje.
Proto, pokud město nebo obec používá pro krizové řízení výše zmíněné ICT prostředky, musí dodržovat zákonné požadavky na kybernetickou bezpečnost.
Dalším důvodem, proč využít zákon o kybernetické bezpečnosti je § 5b zákona č. 365/2000 Sb., o ISVS. Tento paragraf uvádí, že „Orgány veřejné správy uplatňují opatření odpovídající bezpečnostním požadavkům na zajištění důvěrnosti, integrity a dostupnosti informací zpracovávaných v informačních systémech veřejné správy.“
Budeme-li tedy přistupovat k informačním systémům veřejné správy (ISVS) jako by byly významnými informačními systémy dle zákona o kybernetické bezpečnosti, dosáhneme nezpochybnitelného naplnění požadavku § 5b.
A pokud bychom šli do důsledku, všichni bychom měli chtít a snažit se o to, aby naše důvěrná data zůstala opravdu důvěrná a bezpečná a hlavně naše, i bez požadavků a nařízení jakéhokoli zákona.
Martin Dudek, RELSIE spol. s r.o.
zdroj: ISVS.cz