TOP

KYBEZ

Porovnání aktuálních a nových povinností v návrhu zákona o kybernetické bezpečnosti

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) připravil nový návrh zákona o kybernetické bezpečnosti, který přináší řadu změn a nových povinností pro subjekty v České republice. Tento článek se zaměřuje na porovnání aktuálního stavu s navrhovanými změnami.

Současný stav

Povinnosti dle zákona č. 181/2014 Sb.:

  • Identifikace regulovaných služeb: Kritéria pro identifikaci jsou definována zákonem a vyhláškami.
  • Řízení aktiv: Povinnost řídit aktiva platí pouze pro poskytovatele v režimu vyšších povinností.
  • Bezpečnostní opatření: Stanovena minimální bezpečnostní opatření pro různé sektory, avšak nejsou dostatečně rozšířena na digitální infrastrukturu.
  • Stav kybernetického nebezpečí: Doba trvání je omezená a podmínky pro vyhlášení jsou relativně komplikované.
  • Prověřování dodavatelských řetězců: V současnosti není detailně upraveno.

Nový návrh zákona (nZkB)

Rozšíření kritérií pro identifikaci regulovaných služeb:

  • Definice odvětví a velikosti podniku: Nově odkazuje na stávající dokumenty EU, které definují odvětví, ve kterém je služba provozována, a velikost podniku jakožto poskytovatele regulované služby.
  • Význam služby pro zabezpečení důležitých společenských nebo ekonomických činností: Návrh nZkB nyní přímo zmiňuje i tento aspekt.

Řízení aktiv pro poskytovatele v režimu nižších povinností:

  • Nová povinnost: Řízení aktiv bylo přidáno i pro poskytovatele regulovaných služeb v režimu nižších povinností, což posiluje celkovou úroveň kybernetické bezpečnosti.

Bezpečnostní opatření pro digitální infrastrukturu:

  • Rozšířená sekce: Přibylo více služeb do tohoto odvětví a definována minimální bezpečnostní opatření dle legislativy EU.
  • Nahlašovací povinnost: Poskytovatelé těchto služeb musí hlásit všechny kybernetické bezpečnostní incidenty s významným dopadem.

Stav kybernetického nebezpečí:

  • Zjednodušení podmínek: Pro vyhlášení stavu kybernetického nebezpečí byly podmínky zjednodušeny a doba trvání prodloužena na 60 dní, s možností dalšího prodloužení skrze nouzový stav.
  • Nová opatření: Ředitel NÚKIB může nařídit pracovní pohotovost konkrétním zaměstnancům a pověřit média k uveřejnění informací o stavu kybernetického nebezpečí.

Prověřování dodavatelských řetězců:

  • Detailní úprava: Nový zákon zahrnuje mechanismus pro prověřování dodavatelských řetězců, což je klíčové zejména pro kritickou infrastrukturu.
  • Bezpečnost

Vyhlášky o bezpečnostních opatřeních

  • Technická a organizační bezpečnostní opatření
  • Stanovení významnosti dopadu kybernetického bezpečnostního incidentu
  • Podrobnosti k likvidaci dat

Kritika a reakce

Kritika současného návrhu:

  • Prováděcí předpisy: Kritika směřuje k tomu, že mnoho povinností je zakotveno v prováděcích vyhláškách, nikoliv přímo v zákoně. To bylo jedním z důvodů, proč Legislativní rada vlády návrh vrátila k přepracování​.
  • Prověřování dodavatelských řetězců: Tento bod zůstává kontroverzní, s kritikou, že jde nad rámec požadavků směrnice NIS2​.

Reakce NÚKIB:

  • Zapracování připomínek: NÚKIB zapracoval připomínky obdržené během veřejných konzultací a připomínkového řízení​.
  • Důraz na bezpečnost: NÚKIB zdůrazňuje, že nové právní úpravy jsou nezbytné pro posílení kybernetické bezpečnosti a ochranu kritické infrastruktury​ (NUKIB)​.

Závěr

Nový návrh zákona o kybernetické bezpečnosti přináší významné změny a rozšířené povinnosti pro regulované subjekty. I přes kritiku a nutnost přepracování některých částí návrhu je zřejmé, že cílem je zvýšit úroveň kybernetické bezpečnosti v České republice. Zákon by měl vstoupit v účinnost v říjnu 2024, kdy končí transpoziční lhůta pro přijetí směrnice NIS2​.

Zdroje