Zákon o kybernetické bezpečnosti byl schválen
V úterý 18. června schválila Poslanecká sněmovna Parlamentu ČR ve třetím čtení návrh zákona o kybernetické bezpečnosti.
Ten připravil Národní bezpečnostní úřad (NBÚ) s cílem zajistit bezpečnostní standardy, které by minimalizovaly úniky dat a jiné škody vzniklé kybernetickými útoky. Zákon byl v prvním čtení schválen už v lednu, následovalo připomínkové řízení a včerejší hladké přijetí. Nová legislativní norma se týká především provozovatelů významných IT infrastruktur, kteří nově budou muset monitorovat a hlásit bezpečnostní incidenty. Informace bude zpracovávat a vyhodnocovat národní centrum kybernetické bezpečnosti CERT.
Pozměňovací návrhy:
o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) (tisk 81)
Ve druhém čtení nebyl podán návrh na zamítnutí návrhu zákona.
A. Pozměňovací návrhy obsažené v usnesení výboru pro obranu č. 22 z 6. schůze konané dne 9. dubna 2014 (tisk 81/4)
K části první, hlavě II
A1. V § 17 odst. 2 písm. d) se slova „metodickou podporu a pomoc“ nahrazují slovy „metodickou
podporu, pomoc a součinnost při výskytu kybernetického bezpečnostního incidentu“.
A2. V § 17 odst. 2 písm. e) se slova „a poskytuje těmto orgánům a osobám součinnost při výskytu kybernetického bezpečnostního incidentu“ zrušují.
A3. V § 17 odst. 3 se za slova „CERT může“ vkládají slova „vlastním jménem a na vlastní odpovědnost“.
A4. V § 17 odst. 3 se za slova „i další“ vkládá slovo „hospodářskou“.
A5. V § 17 se doplňuje odstavec 5, který zní:
„(5) Provozovatel národního CERT musí při plnění povinností podle odstavce 2 postupovat nestranně.“.
A6. V § 18 odst. 2 se na konci písmene e) spojka „a“ nahrazuje čárkou a na konci písmene f) se tečka nahrazuje čárkou a doplňují se písmena g) a h), která znějí:
„ g) není zahraniční osobou podle jiného právního předpisu a
h) nebyla založena nebo zřízena výlučně za účelem dosažení zisku; tím není dotčena možnost provozovatele národního CERT postupovat podle § 17 odst. 3.“.
A7. V § 18 odst. 3 písm. a) se za slova „a) až d)“ vkládají slova „ , g) a h)“.
A8. V § 18 odst. 4 větě druhé se slova „nebo obdobných peněžitých plnění u příslušných orgánů státu, ve kterém má uchazeč sídlo, místo podnikání či bydliště,“ zrušují.
A9. V § 18 odstavec 5 zní:
„(5) Provozovatel národního CERT vykonává činnosti podle § 17 odst. 2 písm. a), b), c), e), g) a h) bezúplatně.“.
A10. V § 19 odst. 2 písmeno h) zní:
„h) vymezení podmínek pro výkon činnosti národního CERT podle § 17 odst. 3 a“.
2
Pozměňovací návrhy přednesené ve druhém čtení dne 10. června 2014
B. Poslanec Jiří Valenta
B1. V § 5 se doplňuje odstavec 4, který zní:
„(4) S ohledem na bezpečnostní opatření podle tohoto zákona vyberou orgány a osoby uvedené v § 3 písm. c) až e) dodavatele služeb elektronických komunikací pro informační systém
kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém tak, že budou požadovat, aby takový dodavatel byl zároveň subjektem zajišťujícím veřejnou komunikační síť, která má zásadní vliv na bezpečnost příslušného systému.“.
B2. V § 25 odst. 2 písmeno a) zní:
„a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci anebo vybere dodavatele v rozporu s § 5 odst. 4,“.
C. Poslanec Jan Birke
V § 4 se doplňuje odstavec 3, který zní:
„(3) Orgány a osoby uvedené v § 3 písm. c) až e) jsou povinny zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatelů pro informační systém kritické
informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém. Zohlednění požadavků vyplývajících z bezpečnostních opatření podle věty
první v míře nezbytné pro splnění povinností podle tohoto zákona nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.“.
D. Poslanec Matěj Fichtner
D1. V § 8 se odstavec 2 zrušuje.
Dosavadní odstavce 3 a 4 se označují jako odstavce 2 a 3.
D2. V § 8 odst. 2 se slova „§ 3 písm. c) až e)“ nahrazují slovy „§ 3 písm. b) až e)“.
D3. V § 16 odstavec 2 zní:
„(2) Kontaktní údaje a jejich změny oznamují orgány a osoby uvedené v § 3 Úřadu.“.
D4. V § 16 se odstavec 5 zrušuje.
Dosavadní odstavec 6 se označuje jako odstavec 5.
D5. V § 17 odstavec 2 zní:
„(2) Provozovatel národního CERT
a) poskytuje orgánům a osobám uvedeným v § 3 písm. a) a b) metodickou podporu, pomoc a součinnost,
b) provádí hodnocení zranitelností v oblasti kybernetické bezpečnosti,
c) předává Úřadu údaje o kybernetických bezpečnostních incidentech bez uvedení ohlašovatele kybernetického bezpečnostního incidentu.“.
3
D6. V § 17 odst. 3 se za slovo „může“ vkládají slova „vlastním jménem a na vlastní odpovědnost“ a za slovo „další“ se vkládá slovo „hospodářskou“.
D7. V § 17 se doplňuje odstavec 5, který zní:
„(5) Provozovatel národního CERT musí při plnění povinností podle odstavce 2 postupovat nestranně.“.
D8. V § 18 odst. 1 písm. b), § 22 odst. 1 písm. l) a v § 32 se slovo „veřejnoprávní“ zrušuje.
D9. V § 18 odst. 2 se na konci písmene e) spojka „a“ nahrazuje čárkou a na konci písmene f) se
tečka nahrazuje čárkou a doplňují se písmena g) a h), která znějí:
„g) není zahraniční osobou podle jiného právního předpisu a
h) nebyla založena nebo zřízena výlučně za účelem dosažení zisku; tím není dotčena možnost provozovatele národního CERT postupovat podle § 17 odst. 3.“.
D10. V § 18 odst. 3 písm. a) se za slova „a) až d) vkládají slova „ , g) a h)“.
D11. V § 18 odst. 4 větě druhé se slova „nebo obdobných peněžitých plnění u příslušných orgánů státu, ve kterém má uchazeč sídlo, místo podnikání či bydliště,“ zrušují.
D12. V § 18 odstavec 5 zní:
„(5) Provozovatel národního CERT vykonává činnosti podle § 17 odst. 2 písm. a) až c), e), g) a h) bezúplatně.“.
D13. Nadpis § 19 zní: „Smlouva“.
D14. V § 19 odstavec 1 zní:
„(1) Úřad uzavírá smlouvu s právnickou osobou vybranou za účelem spolupráce v oblasti kybernetické bezpečnosti a zajištění činností podle § 17 odst. 2.“.
D15. V § 19 odst. 2 se za slovo „Smlouva“ vkládají slova „podle odstavce 1“.
D16. V § 19 odst. 2 písmeno h) zní:
„h) vymezení podmínek pro výkon činnosti národního CERT podle § 17 odst. 3 a“.
D17. V § 19 se doplňuje odstavec 5, který zní:
„(5) Plnění ze smlouvy uzavřené podle odstavce 1 je Úřadu poskytováno bezúplatně.“.
D18. V § 20 písm. a) se slova „písm. c) až e)“ zrušují.
D19. V § 20 písm. b), d) a e) se slova „písm. c) až e)“ nahrazují slovy „písm. b) až e)“.
D20. V § 23 odst. 2 písm. b) se slova „§ 8 odst. 3“ nahrazují slovy „§ 8 odst. 2“ a slova „§ 16
odst. 2 písm. b)“ se nahrazují slovy „§ 16 odst. 2“.
D21. V § 25 odst. 2 písm. d) se slova „§ 16 odst. 2 písm. b)“ se nahrazují slovy „§ 16 odst. 2“.
D22. V § 28 odst. 2 písm. b) se slova „§ 8 odst. 4“ nahrazují slovy „§ 8 odst. 3“.
4
D23. V § 28 odst. 2 písm. d) se slova „§ 16 odst. 6“ nahrazují slovy „§ 16 odst. 5“.
D24. V § 29 odst. 2 se slova „§ 8 odst. 1 a 2“ nahrazují slovy „§ 8 odst. 1“.
D25. V § 30 písm. b) a § 31 písm. b) se slova „§ 8 odst. 1 a 3“ nahrazují slovy „§ 8 odst. 1 a 2“.
V Praze dne 11. června 2014
Ing. Václav Klučka, v.r., zpravodaj výboru pro obranu, zpravodaj výboru pro bezpečnost
Ing. Bronislav Schwarz, v.r., zpravodaj ústavně právního výboru
Ing. Adolf Beznoska, v.r., zpravodaj rozpočtového výboru
Pozměňovací návrhy:
o kybernetické bezpečnosti a o změně souvisejících zákonů
(zákon o kybernetické bezpečnosti)
(tisk 81)
Ve druhém čtení nebyl podán návrh na zamítnutí návrhu zákona.
A. Pozměňovací návrhy obsažené v usnesení výboru pro obranu č. 22 z 6. schůze konané
dne 9. dubna 2014 (tisk 81/4)
K části první, hlavě II
A1. V § 17 odst. 2 písm. d) se slova „metodickou podporu a pomoc“ nahrazují slovy „metodickou
podporu, pomoc a součinnost při výskytu kybernetického bezpečnostního incidentu“.
A2. V § 17 odst. 2 písm. e) se slova „a poskytuje těmto orgánům a osobám součinnost při výskytu
kybernetického bezpečnostního incidentu“ zrušují.
A3. V § 17 odst. 3 se za slova „CERT může“ vkládají slova „vlastním jménem a na vlastní
odpovědnost“.
A4. V § 17 odst. 3 se za slova „i další“ vkládá slovo „hospodářskou“.
A5. V § 17 se doplňuje odstavec 5, který zní:
„(5) Provozovatel národního CERT musí při plnění povinností podle odstavce 2 postupovat
nestranně.“.
A6. V § 18 odst. 2 se na konci písmene e) spojka „a“ nahrazuje čárkou a na konci písmene f) se
tečka nahrazuje čárkou a doplňují se písmena g) a h), která znějí:
„ g) není zahraniční osobou podle jiného právního předpisu a
h) nebyla založena nebo zřízena výlučně za účelem dosažení zisku; tím není dotčena možnost
provozovatele národního CERT postupovat podle § 17 odst. 3.“.
A7. V § 18 odst. 3 písm. a) se za slova „a) až d)“ vkládají slova „ , g) a h)“.
A8. V § 18 odst. 4 větě druhé se slova „nebo obdobných peněžitých plnění u příslušných orgánů
státu, ve kterém má uchazeč sídlo, místo podnikání či bydliště,“ zrušují.
A9. V § 18 odstavec 5 zní:
„(5) Provozovatel národního CERT vykonává činnosti podle § 17 odst. 2 písm. a), b), c), e),
g) a h) bezúplatně.“.
A10. V § 19 odst. 2 písmeno h) zní:
„h) vymezení podmínek pro výkon činnosti národního CERT podle § 17 odst. 3 a“.
2
Pozměňovací návrhy přednesené ve druhém čtení dne 10. června 2014
B. Poslanec Jiří Valenta
B1. V § 5 se doplňuje odstavec 4, který zní:
„(4) S ohledem na bezpečnostní opatření podle tohoto zákona vyberou orgány a osoby
uvedené v § 3 písm. c) až e) dodavatele služeb elektronických komunikací pro informační systém
kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo
významný informační systém tak, že budou požadovat, aby takový dodavatel byl zároveň subjektem
zajišťujícím veřejnou komunikační síť, která má zásadní vliv na bezpečnost příslušného systému.“.
B2. V § 25 odst. 2 písmeno a) zní:
„a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede
bezpečnostní dokumentaci anebo vybere dodavatele v rozporu s § 5 odst. 4,“.
C. Poslanec Jan Birke
V § 4 se doplňuje odstavec 3, který zní:
„(3) Orgány a osoby uvedené v § 3 písm. c) až e) jsou povinny zohlednit požadavky
vyplývající z bezpečnostních opatření při výběru dodavatelů pro informační systém kritické
informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný
informační systém. Zohlednění požadavků vyplývajících z bezpečnostních opatření podle věty
první v míře nezbytné pro splnění povinností podle tohoto zákona nelze považovat za nezákonné
omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.“.
D. Poslanec Matěj Fichtner
D1. V § 8 se odstavec 2 zrušuje.
Dosavadní odstavce 3 a 4 se označují jako odstavce 2 a 3.
D2. V § 8 odst. 2 se slova „§ 3 písm. c) až e)“ nahrazují slovy „§ 3 písm. b) až e)“.
D3. V § 16 odstavec 2 zní:
„(2) Kontaktní údaje a jejich změny oznamují orgány a osoby uvedené v § 3 Úřadu.“.
D4. V § 16 se odstavec 5 zrušuje.
Dosavadní odstavec 6 se označuje jako odstavec 5.
D5. V § 17 odstavec 2 zní:
„(2) Provozovatel národního CERT
a) poskytuje orgánům a osobám uvedeným v § 3 písm. a) a b) metodickou podporu, pomoc a
součinnost,
b) provádí hodnocení zranitelností v oblasti kybernetické bezpečnosti,
c) předává Úřadu údaje o kybernetických bezpečnostních incidentech bez uvedení ohlašovatele
kybernetického bezpečnostního incidentu.“.
3
D6. V § 17 odst. 3 se za slovo „může“ vkládají slova „vlastním jménem a na vlastní odpovědnost“ a
za slovo „další“ se vkládá slovo „hospodářskou“.
D7. V § 17 se doplňuje odstavec 5, který zní:
„(5) Provozovatel národního CERT musí při plnění povinností podle odstavce 2 postupovat
nestranně.“.
D8. V § 18 odst. 1 písm. b), § 22 odst. 1 písm. l) a v § 32 se slovo „veřejnoprávní“ zrušuje.
D9. V § 18 odst. 2 se na konci písmene e) spojka „a“ nahrazuje čárkou a na konci písmene f) se
tečka nahrazuje čárkou a doplňují se písmena g) a h), která znějí:
„g) není zahraniční osobou podle jiného právního předpisu a
h) nebyla založena nebo zřízena výlučně za účelem dosažení zisku; tím není dotčena možnost
provozovatele národního CERT postupovat podle § 17 odst. 3.“.
D10. V § 18 odst. 3 písm. a) se za slova „a) až d) vkládají slova „ , g) a h)“.
D11. V § 18 odst. 4 větě druhé se slova „nebo obdobných peněžitých plnění u příslušných orgánů
státu, ve kterém má uchazeč sídlo, místo podnikání či bydliště,“ zrušují.
D12. V § 18 odstavec 5 zní:
„(5) Provozovatel národního CERT vykonává činnosti podle § 17 odst. 2 písm. a) až c), e),
g) a h) bezúplatně.“.
D13. Nadpis § 19 zní: „Smlouva“.
D14. V § 19 odstavec 1 zní:
„(1) Úřad uzavírá smlouvu s právnickou osobou vybranou za účelem spolupráce v oblasti
kybernetické bezpečnosti a zajištění činností podle § 17 odst. 2.“.
D15. V § 19 odst. 2 se za slovo „Smlouva“ vkládají slova „podle odstavce 1“.
D16. V § 19 odst. 2 písmeno h) zní:
„h) vymezení podmínek pro výkon činnosti národního CERT podle § 17 odst. 3 a“.
D17. V § 19 se doplňuje odstavec 5, který zní:
„(5) Plnění ze smlouvy uzavřené podle odstavce 1 je Úřadu poskytováno bezúplatně.“.
D18. V § 20 písm. a) se slova „písm. c) až e)“ zrušují.
D19. V § 20 písm. b), d) a e) se slova „písm. c) až e)“ nahrazují slovy „písm. b) až e)“.
D20. V § 23 odst. 2 písm. b) se slova „§ 8 odst. 3“ nahrazují slovy „§ 8 odst. 2“ a slova „§ 16
odst. 2 písm. b)“ se nahrazují slovy „§ 16 odst. 2“.
D21. V § 25 odst. 2 písm. d) se slova „§ 16 odst. 2 písm. b)“ se nahrazují slovy „§ 16 odst. 2“.
D22. V § 28 odst. 2 písm. b) se slova „§ 8 odst. 4“ nahrazují slovy „§ 8 odst. 3“.
4
D23. V § 28 odst. 2 písm. d) se slova „§ 16 odst. 6“ nahrazují slovy „§ 16 odst. 5“.
D24. V § 29 odst. 2 se slova „§ 8 odst. 1 a 2“ nahrazují slovy „§ 8 odst. 1“.
D25. V § 30 písm. b) a § 31 písm. b) se slova „§ 8 odst. 1 a 3“ nahrazují slovy „§ 8 odst. 1 a 2“.
V Praze dne 11. června 2014
Ing. Václav Klučka, v.r.
zpravodaj výboru pro obranu
zpravodaj výboru pro bezpečnost
Ing. Bronislav Schwarz, v.r.
zpravodaj ústavně právního výboru
Ing. Adolf Beznoska, v.r.
zpravodaj rozpočtového výboru
