ČIMIB: Návrh zákona o kybernetické bezpečnosti

V říjnu 2011 vláda České republiky pověřila Národní bezpečnostní úřad výkonem funkce národní autority pro kybernetickou bezpečnost. Součástí tohoto pověření je jednak povinnost vybudovat do konce roku 2015 Národní centrum kybernetické bezpečnosti, které by mělo vykonávat funkci tzv. Vládního CERT (Cyber Emergency Response Team) a dále povinnost předložit vládě návrh legislativní úpravy v oblasti kybernetické bezpečnosti.

Ze Strategie kybernetické bezpečnosti pro roky 2011 – 2015 vyplývá, že základním úkolem v této oblasti je zajistit ochranu informačních systémů, které jsou nezbytné pro fungování státu a služeb občanům. To se týká jednak informačních systémů zajišťujících práci státní správy a samosprávy a dále tzv. kritické informační infrastruktury. Zatímco ochranu systémů veřejné správy je možnost zajistit prostřednictvím nařízení vlády, správci kritické infrastruktury mohou být, a ve velké míře zřejmě také budou, soukromé subjekty. Protože podle Ústavy ČR je možné soukromým osobám ukládat povinnosti pouze prostřednictvím zákona, je třeba tuto úpravu provést přijetím nové legislativní normy na této úrovni – zákona o kybernetické bezpečnosti (dále jen „ZKB“).

Práce na návrhu věcného záměru ZKB začaly již v roce 2011. Tento věcný záměr byl po rozsáhlých konzultacích s odbornou i širokou veřejností vládou přijat v květnu 2012. Ihned po přijetí věcného záměru začaly práce na paragrafovém znění ZKB, který je v současnosti projednáván Legislativní radou vlády.

Základní principy návrhu zákona o kybernetické bezpečnosti

Návrh ZKB vychází z několika principů: jednak má jít o nákladově efektivní řešení, které nebude příliš zasahovat do práv soukromoprávních subjektů ze strany státu. Z toho vyplývá rozdělení odpovědnosti nad ochranou kyberprostoru mezi dva subjekty. Jedná se o Národní bezpečnostní úřad, který bude mít odpovědnost za ochranu kritické informační infrastruktury a informačních systémů státní správy a dále tzv. Národní CERT, který bude poskytovat asistenci všem ostatním subjektům a zprostředkovávat komunikaci a výměnu informací mezi nimi. Národní CERT by měl být provozován soukromým subjektem na základě veřejnoprávní smlouvy s NBÚ. V současnosti již tuto funkci vykonává sdružení CZ.NIC z.s.p.o.

ZKB dále předpokládá, že za ochranu svých informačních systémů bude v zásadě odpovědný jejich provozovatel. NBÚ bude pouze vydávat prováděcí předpisy, které mají stanovit základní povinnosti v této oblasti. Tyto prováděcí předpisy by měly vycházet z obecně uznávaných mezinárodních předpisů, zejména z řady norem ISO 27000. Lze proto předpokládat, že jejich splnění bude pro podniky, které jsou držiteli certifikace na tyto normy velmi snadné.

Rozsah povinností jednotlivých subjektů se bude lišit podle toho, jaká je důležitost informačních systémů které spravují. Největší bude u správců kritické informační infrastruktury. Ti by měli především hlásit bezpečnostní incidenty NBÚ a za tímto účelem zřídit stále funkční komunikační kanál, a dále implementovat prováděcí předpisy k ZKB vydané NBÚ. V podstatě stejný okruh povinností by se měl vztahovat na správce informačních systémů veřejné správy, jejichž fungování je nezbytné pro činnost státu. Součástí bude také povinnost aplikovat protiopatření v případě bezpečnostního incidentu. Naopak ostatním soukromoprávním subjektům (těm, které neprovozují systémy kritické informační infrastruktury) by měly být zvláštní povinnosti stanovovány pouze v případě vyhlášení stavu kybernetického nebezpečí, tj. V případě rozsáhlého kybernetického útoku zásadně ohrožujícího fungování České republiky.

Souvislost s evropskou legislativou a další postup

Přijetí ZKB je nezbytné i v souvislosti s připravovanou legislativou Evropské unie. V únoru 2013 Evropská komise představila návrh Směrnice o síťové a informační bezpečnosti, která má zavést podobná opatření jako ZKB. Přestože je tento návrh v raném stadiu projednávání, už nyní je možné konstatovat, že zákon tak jak je připravován by v podstatě mohl bez dalšího sloužit k jeho implementaci do českého práva. Odlišnosti mezi oběma návrhy dosud spočívají zejména v rozsahu působnosti směrnice, která by měla upravovat povinnosti i takových subjektů jako jsou provozovatelé sociálních sítí, služeb webmailu, e-commerce a podobně. Česká republika se v současnosti aktivně zasazuje o to, aby byla v zájmu přehnaného nezasahování do práv soukromých subjektů rozsah působnosti směrnice omezen obdobně, jako je tomu v návrhu ZKB.

Návrh ZKB je v současnosti projednáván mezi NBÚ a Legislativní radou vlády předtím, než dojde k jeho předložení vládě ke schválení. Původní předpoklad spočíval v projednání ZKB v Parlamentu ČR do poloviny roku 2014 tak, aby mohl platit od začátku roku 2015 a k 1. lednu 2015 vstoupit v účinnost. Současná politická situace sice tento záměr značně zkomplikovala, nicméně se stále jeví jako splnitelný.

Komentáře

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *