TOP

KYBEZ

Zákon o kybernetické bezpečnosti – co bychom o něm měli vědět?

Zákon o kybernetické bezpečnosti nám ukládá povinnost zavádět bezpečnostní opatření ve firmách, které jsou povinnou osobou. Povinnou osobou se rozumí ty instituce či firmy, které jsou kritickou informační infrastrukturou. Patří sem i správce a provozovatel významného informačního systému a digitální služby.

S čím nás zákon o kybernetické bezpečnosti seznamuje:

  • s plánem řízení bezpečnosti, jak by měl vypadat,
  • s bezpečnostní politikou, která říká, jaká jsou bezpečnostní opatření a jak s nimi nakládat,
  • s tím, kam máme případné události a incidenty hlásit,
  • s určením si bezpečnostních rolí ve firmě,
  • s kontinuitou činností, což znamená chování firem ve stavu nouze vyhlášené NÚKIB či Vládou ČR.

Zákon nás také informuje o bezpečné likvidaci dat a ukládá nám povinnost zlikvidovat data v souladu s vyhláškou a směrnicí.

Řízení bezpečnosti dle zákona o kybernetické bezpečnosti

Bezpečnostním opatřením se rozumí zajištění bezpečnosti informací v informačních systémech. Klade se také důraz na jejich důvěrnost, integritu a dostupnost.

Orgány a osoby kritické infrastruktury jsou povinny zavést a provádět bezpečnostní opatření pro zajištění bezpečnosti kybernetického prostoru kritické infrastruktury, základního a významného informačního systému.

Bezpečnostní opatření se také vztahují na poskytovatele digitální služby, který je povinnen zavést a provádět přiměřená bezpečnostní opatření tak, aby mohl svoji službu dále poskytovat. Zahrnuje i zvládání bezpečnostních incidentů, řízení kontinuity činností, monitorování, audit, testování a soulad s mezinárodními předpisy.

Zákon nás také seznamuje s požadavkem na uzavírání smluv s dodavateli cloud computingu, kdy jsou orgány či osoby povinny zahrnout a zohlednit požadavky v souladu s bezpečnostními opatřeními pro provoz jejich služby. Dále nám říká, že cloud computing musí být řazen do bezpečnostní úrovně s ohledem na jeho povahu a zajistit, že budou dodržována bezpečnostní pravidla pro poskytování služby. Orgány a osoby si dále dohodnou způsob a výši úhrady vynaložených nákladů na zavedení bezpečnostních pravidel a realizaci bezpečnostní politiky s odběratelem.

Orgány a osoby, které se staly správci komunikačních a informačních technologií kritické informační infrastruktury a významného informačního systému, ale nejsou provozovateli těchto systémů, jsou povinny neprodleně a prokazatelně informovat provozovatele systému o této skutečnosti, že se provozovatel stal orgánem či povinnou osobou. To samé platí i pro poskytovatele základní informační infrastruktury.

Bezpečnostní opatření jsou:

  1. Technická – fyzická bezpečnost, ochrana integrity komunikačních sítí, nástroj pro ověřování identity, nástroj pro řízení bezpečnostních oprávnění, ochrana před škodlivým virem, nástroj pro monitorování sítě, nástroj pro detekci kyberudálostí, nástroj pro sběr a vyhodnocování kyberudálostí, aplikační bezpečnost, kryptografické prostředky, nástroj pro zajištění bezpečnostní úrovně dostupnosti informací, bezpečnost průmyslových a řídících systémů.
  2. Organizační – systém řízení informací, řízení rizik, bezpečnostní politika, organizační bezpečnost, řízení rizik, řízení bezpečnosti lidských zdrojů (GDPR a ostatní), řízení provozu, řízení přístupu, řízení kontinuity činností, kontrola a audit.

Dále pak nám z vyhlášky plynou daná ustanovení, jako jsou obsah bezpečnostních opatření, struktura bezpečnostní dokumentace, rozsah opatření pro orgány a povinné osoby, významné informační systémy, obsah a rozsah pravidel pro orgány veřejné moci užívající služby cloud computingu, včetně bezpečnostních úrovní.

Zákon nám také říká, jak se evidují kybernetické bezpečnostní události. Nařizuje nám o nich dělat záznamy, identifikaci zdroje, údajů systému, postup při řešení a výsledek.

Zákon o kybernetické bezpečnosti nás také informuje, koho v případě kybernetické bezpečnostní události informovat. Říká nám, jak postupovat při reaktivních opatřeních a jak s nimi nakládat. V případě incidentu či události musíme kontaktovat národní CERT nebo NÚKIB – podle toho, čeho se incident nebo událost týká.

Stavy kybernetického nebezpečí

Máme také stavy kybernetického nebezpečí, které nám říkají, jak a kdo je vyhlašuje v případě nouze.

Stav kybernetického nebezpečí vyhlašuje Národní úřad pro kybernetickou a informační bezpečnost, nejdéle však na 7 dnů, pokud úřad nestanoví jinak. Stav může být prodloužen na dobu maximálně 30 dnů.

V průběhu vyhlášeného stavu kybernetického nebezpečí musí úřad kontaktovat Vládu ČR a sdělit jí, k čemu vyhlášení bylo nutné a popsat rizika a hrozby. Úřad má také oprávnění vydat nouzové opatření i pro orgány veřejné moci a pro povinné osoby.