NÁZEV PROJEKTU
1.
KONSOLIDOVANÉ PŘIPOMÍNKY K NÁVRHU KYBERNETICKÉHO ZÁKONA
1.1
Připomínky k definicím a formulacím
1.1.1
§ 1, Předmět úpravy 1. odst. 2, nejsou orgány státní správy (případně orgány samosprávy) zahrnuty již v předešlé formulaci tzn. orgánů veřejné moci?
1.1.2
§ 2, Vymezení pojmů 1. písm. a): Doplnit text "komunikačními systémy" - navrhované znění:" kybernetickým prostorem digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, komunikačními systémy a službami a sítěmi elektronických komunikací" 2. písm. b): Doplnit text ", fyzických": " Kybernetická bezpečnost je souhrn právních, organizačních, technických, fyzických a vzdělávacích opatření…" 3. písm. b): doplnit formulaci o zajištění bezpečnosti informací v rámci tohoto prostoru 4. písm. b): text "bezvadného" nahradit textem "optimálního" 5. písm. c): definice kritické informační infrastruktury je nesrozumitelná a) nedává návod na to, jak poznat, zda něco je nebo není prvkem kritické infrastruktury elektronických komunikací b) prvky KI v odvětví "komunikační a informační systémy" definuje Nařízení vlády 432/2010 c) to jsou všechny prvky nebo pouze podmnožina? Pokud podmnožina, potom chybí upřesnění. Nebo se jedná o prvky kritické infrastruktury podle zákona č. 240/2000 Sb., které jsou současně IS nebo komunikačním systémem? d) Návrh nové formulace: " kritickou informační infrastrukturou prostředky informatizace a komunikace v oblasti kybernetické bezpečnosti ve všech odvětvích kritické infrastruktury a odvětví komunikační a informační systémy; tyto prostředky a jejich určující kritéria stanoví prováděcí právní předpis". Poznámka: kritická informační infrastruktura zahrnuje nejen odvětví komunikační a informační systémy, ale i informační a komunikační systémy (SCADA a jiné) , které jsou podmínkou fungování energetiky, dopravy, bankovnictví a dalších odvětví. 6. písm. d): místo ".. dostupnosti informace" použít ".. dostupnosti informací" 7. písm. e): místo textu " významným informačním systémem informační systém spravovaný orgánem veřejné správy, použít text "významným informačním systémem informační systém veřejné správy" 8. písm. f): definice role správce je ukotvena v 365/2000 Sb. §2, písm. c), doporučuje se dle této definice doplnit text "a za informační systém odpovídá" 9. písm. f): za text "a u kterého narušení bezpečnosti informací" doplnit text "a dostupnosti poskytovaných služeb" nebo doplnit odkaz pod čarou 10. vložit písm. h) s textem "páteřní sítí vysokokapacitní datová cesta, která realizuje spojení mezi jednotlivými sítěmi."
evidenční číslo z Previdu
1/12
NÁZEV PROJEKTU
1.1.3
§4 1.
1.1.4
nejsou zdůrazněny preventivní činnosti, proaktivita, monitoring.
§ 5, Bezpečnostní opatření 1. odst.1: do textu "Bezpečnostním opatřením se rozumí souhrn úkonů a postupů" vložit text "a prostředků" 2. poskytovatelé připojení k internetu a provozovatelé páteřních infrastruktur nemají tuto povinnost zavést bezpečnostní opatření atd.?
1.1.5
§6 1. odst.2: jedná se o nesystematický přehled organizačních opatření, měl by vycházet z ISO 27001 a respektovat dobrou praxi a) systém řízení bezpečnosti informací dle bodu a) v podstatě zahrnuje veškeré zbývající oblasti b) místo "hodnocení rizik "použít termín "řízení rizik" c) chybí opatření v rámci fyzické bezpečnosti, která také mají organizační charakter d) plán připravenosti na řešení kybernetických bezpečnostních incidentů dle ISO 27001 spadá do oblasti Plánů kontinuity e) bezpečnostní politiku umístit jako bod a) f) návrh znění bodu e): "stanovení bezpečnostních požadavků pro zadavatele a dodavatele akvizic, vývoje a údržby kritické informační infrastruktury a významných informačních systémů" g) navrhuje se zrušit bod j) tj. sloučení s bodem e) v nové formulaci (viz předchozí odrážka f) h) jiný návrh řešení písm. j): akvizice a vývoj nejsou organizační bezpečnostní opatření, v rámci těchto činností se opatření uplatňují. Navrhuji formulaci „bezpečné postupy akvizice, vývoje a údržby kritické informační infrastruktury a významných informačních systémů“. i) návrh znění bodu m): "provádění kontroly a auditu kritické informační infrastruktury a významných informačních systémů a" 2. odst.3: nekoncepční přehled technických opatření, a) místo "fyzická bezpečnost" se navrhuje použít termín "technické a mechanické prostředky zajištění fyzické bezpečnosti" b) návrh znění písm. b): "nástroj pro správu identit uživatelů, systémů, služeb a prostředků v rámci informačních systémů" c) místo "stanovení minimálních požadavků a pravidel pro používání kryptografických prostředků" použít termín "kryptografické prostředky" d) "stanovení minimálních požadavků a pravidel" se bude týkat zřejmě nejen kryptografických prostředků e) ve výčtu chybí nástroj na ochranu proti škodlivým programům f) do textu "nástroj pro detekci kybernetických bezpečnostních událostí" vložit text "a bezpečnostních incidentů"
1.1.6
§7 1. písm. a): zrušit text "a formu", nebývá zvykem určovat formu dokumentace
evidenční číslo z Previdu
2/12
NÁZEV PROJEKTU
1.1.7
§8 1. odst. 3: Poznámka: Lze povinně detekovat to, na co je povinná osoba připravena, nebo co má uloženo zákonem sledovat. Obecně se to nedá 100% splnit a garantovat. Návrh na úpravu formulace: "vynaložit veškeré úsilí na detekování kybernetické bezpečnostní události". 2. odst. 3: za text "kybernetické bezpečnostní události" doplnit text "a vyhodnocovat kybernetické bezpečnostní incidenty"
1.1.8
§ 9, Hlášení kybernetického bezpečnostního incidentu 1. odst. 1: Doplnit text "komunikačních systémech": "Povinné osoby uvedené v § 3 písm. b) až e) jsou povinny hlásit kybernetické bezpečnostní incidenty v jejich informačních systémech, komunikačních systémech nebo službách a sítích elektronických komunikací; tím není dotčena informační povinnost podle jiného právního předpisu." 2. nejednoznačný výkladu pojmu „národní CERT“, který se vyskytuje v § 9 a následně v několika dalších ustanoveních 3. povinné osoby dle § 3 písm. a) nemusí nic hlásit ? 4. chybí povinnost hlásit bezpečnostní události, je to tak záměrně? Analýza událostí je důležitá pro prevenci. 5. odst. 3: zde se slovo Úřad objevuje poprvé bez jakéhokoliv vysvětlení, návrh doplnit text "Národnímu bezpečnostnímu úřadu (dále jen" 6. není zřejmá forma hlášení kybernetického bezpečnostního incidentu 7. některé povinné subjekty již musí hlásit některé incidenty jiným orgánům, je třeba tuto oblast sjednotit 8. zatím nejsou jasné lhůty, bude je řešit vyhláška?
1.1.9
§ 10 1. odst. 1: Jak bude Úřad evidence využívat, jak dlouho uchovávat údaje? 2. odst. 2, písm. c): údaje o původci kybernetického bezpečnostního incidentu nemusí být známé, na začátek doplnit text "dostupné"
1.1.10
§ 11 1. Přesněji vymezit definici mlčenlivosti. 2. Není vhodné ustanovovat povinnost mlčenlivosti i pro soukromé subjekty. Navíc je toto v rozporu s potřebou rychlé reakce v případě kybernetického incidentu. 3. Je třeba umožnit povinným osobám informovat své zákazníky, subjekty údajů zpracovávaných ve významných informačních systémech atd. o incidentu. (mj. i s ohledem na možné změny legislativy EU v oblasti ochrany osobních údajů – zavedení informační povinnosti o incidentu, při kterém došlo k prozrazení osobních údajů.) Pokud by bylo možné ustanovení § 11 ve spojení s § 10 odst. 1 písm. a) a b) vykládat tak, že povinnost mlčenlivosti se vztahuje i na mlčenlivost pracovníků povinné osoby o tom, že v nějakém systému k incidentu došlo a o jeho rozsahu, je třeba ho upravit. 4. odst. 1 a odst. 2: Mlčenlivost po skončení pracovněprávního vztahu se nevztahuje na zaměstnance povinných osob resp. pracoviště CERT? 5. odst. 1: návrh nového znění: "Osoby podílející se na řešení kybernetického bezpečnostního incidentu spojeného s kritickou informační infrastrukturou nebo s významným informačním systémem
evidenční číslo z Previdu
3/12
NÁZEV PROJEKTU
jsou vázány povinností mlčenlivosti o údajích uvedených v § 10 odstavci 1 a 2. Povinnost mlčenlivosti trvá i po skončení pracovněprávního vztahu k Úřadu. Povinnost mlčenlivosti má každý, kdo se o údajích uvedených v § 10 odstavci 1 a 2, dozví" 1.1.11
§ 13 1. odst. 1: Doplnit text "komunikačních systémů". Návrh nového znění: "Protiopatřeními se rozumí úkony, jichž je třeba k ochraně informačních systémů, komunikačních systémů nebo služeb a sítí elektronických komunikací před negativním dopadem kybernetického bezpečnostního incidentu."
1.1.12
§ 14 1. odst. 3: za text "internetových stránkách" doplnit text "s řízeným přístupem"
1.1.13
§ 15 1. odst. 3: návrh nového znění: "Úřad vydá rozhodnutí k řešení kybernetického bezpečnostního incidentu a doručí je povinné osobě. Rozhodnutí je vykonatelné doručením. Nelze-li rozhodnutí doručit, je vykonatelné vyvěšením rozhodnutí (umožňuje-li to obsah rozhodnutí) nebo odkazu na rozhodnutí na úřední desce Úřadu. V odkazu na rozhodnutí je uvedeno, jak povinná osoba získá plný text rozhodnutí (např. na internetových stránkách s řízeným přístupem vládního CERTu)."
1.1.14
§ 16 1. Pojem "ochranné" je mírně zavádějící, z podstaty věci jsou všechna protiopatření ochranného charakteru. Lepší by bylo např. "preventivní". 2. odst. 3: Doplnit text "komunikačních systémů". Návrh nového znění:"Úřad vydá opatření obecné povahy, ve kterém povinným osobám uvedeným v § 3 písm. c) až e) stanoví způsob zvýšení ochrany informačních systémů, komunikačních systémů nebo služeb a sítí elektronických komunikací a lhůtu k jeho provedení."
1.1.15
§ 17 1. návrh nového znění: " Při vydání opatření obecné povahy postupuje Úřad podle správního řádu. Opatření obecné povahy nabývá účinnosti dnem zveřejnění opatření (umožňuje-li to obsah opatření) nebo odkazu na opatření na úřední desce Úřadu, a to před postupem podle § 172 správního řádu. Současně se opatření obecné povahy zveřejní na internetových stránkách s řízeným přístupem vládního CERTu.
1.1.16
§ 18 1. odst. 3: celý odstavec zrušit. Poznámka: Nevhodné zveřejnění kontaktních údajů spojených s kritickou informační infrastrukturou v nezabezpečeném informačním systému. 2. odst. 7: doplnit text "Úřad jednou ročně provede kontrolu evidence elektronických kontaktních údajů testovací zprávou podle prováděcího předpisu. Prováděcí právní předpis stanoví obsah každoroční testovací zprávy evidence elektronických kontaktních údajů a náležitosti, formu a lhůtu odpovědi na testovací zprávu."
evidenční číslo z Previdu
4/12
NÁZEV PROJEKTU
1.1.17
§ 19, Národní CERT 1. doporučuje se předřadit definici Vládního CERTu (§23) před definici Národního CERTu v §19. 2. odst. 3, písm. d): místo textu "poskytuje" použít text " může poskytovat" Poznámka: Národní CERT by neměl být povinen poskytovat výše uvedené, možnost zneužití ze strany povinných osob 3. odst. 3, písm. g): opravit koncovku slova "zranitelnosti" do množného čísla
1.1.18
§ 21 1. 2. 3. 4.
odst. 1, písm. b): doplnit slovo "odpovídající". odst. 1, písm. e): doplnit na konec text "uvedené v § 3 písm. a) a b)" odst. 1, písm. g): nejasná formulace bezúhonnosti. odst. 2: doplnit na konec text "uvedené v § 3 písm. a) a b)"
1.1.19
§ 23 1. písm. h): opravit koncovku slova "zranitelnosti" do množného čísla 2. písm. j): vložit za text "na internetových stránkách" text "s řízeným přístupem"
1.1.20
§ 24 1. Nepřesná formulace. Mohlo by to vyznít, že se zákon vztahuje pouze na IS a KS zpravodajských služeb. 2. Návrh formulace: "Tento zákon se vztahuje na ty informační nebo komunikační systémy zpravodajských služeb, které splňují podmínky pro určení kritické informační infrastruktury, a to v rozsahu § 14 a § 18; ustanovení § 5 se na tyto systémy použije přiměřeně a Úřad je podle jiného právního předpisu neurčuje"
1.1.21
1.1.22
§ 25 1. odst. 1: doplnit text "komunikačních systémech": "Stavem kybernetického nebezpečí se rozumí stav, ve kterém je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech a komunikačních systémech nebo bezpečnost služeb nebo sítí elektronických komunikací, a tím dojde nebo by mohlo dojít k porušení nebo ohrožení zájmu České republiky." 2. odst. 1: v textu "…dojít k porušení nebo ohrožení zájmu České republiky" je použit pojem "zájem České republiky", podle mého by tento zájem měl být buď definován ve vymezení pojmů, případně by mohl být uveden odkaz na právní úpravu (např. ústavní zákon o bezpečnosti, krizový zákon) § 27 1. odst. 2, písm. c): místo „Národního centra kybernetické bezpečnosti“ má zřejmě být „vládního CERTu“. 2. odst. 2, písm. d): doplnit text "a komunikačních": "vyhodnocuje údaje o kybernetických bezpečnostních událostech a kybernetických bezpečnostních incidentech, z kritické informační infrastruktury, z významných informačních systémů a dalších informačních a komunikačních systémů veřejné správy." 3. odst. 3: celý odstavec zrušit.
evidenční číslo z Previdu
5/12
NÁZEV PROJEKTU
1.1.23
§ 28, Kontrola 1. odst. 1: zrušit poslední větu. 2. odst. 1: jak mají Úřad a MV rozdělené kompetence v oblasti kontroly? Jsou kompetence rozděleny dle §27 odst. 2 g) a odst. 3)?. 3. odst. 4: jaký je důvod vytknuti správců významných informačních systémů z kontrolní činnosti NBU do působnosti MVCR? 4. odst. 4: Existuje obava, že ve struktuře Ministerstva vnitra to zapadne a nikdo to nebude kontrolovat a vyžadovat. Navrhuje se, aby to zůstalo na NBÚ. 5. odst. 3, písm. c): vložit za pomlčku text "zavedení bezpečnostních opatření," 6. odst. 4: odstavec zrušit. Poznámka: Je neefektivní budovat kontrolní týmy ve dvou prvcích státní správy,nekoordinovaná kontrola z více míst byla kritizována na Workshopu CSIRT v prosinci 2012. Navrhuji upravit zákon č. 365/2000 Sb., o informačních systémech veřejné správy tak, že kontrolní činnost u informačních a komunikačních systémů kritické informační infrastruktury a u významných informačních systémů je prováděna Úřadem podle zákona o kybernetické bezpečnosti
1.1.24
§ 29 1. odst. 2: návrh nové formulace: "Hrozí-li pro zjištěné nedostatky nebezpečí narušení bezpečnosti informací u prvku kritické informační infrastruktury nebo významného informačního systému, může kontrolní orgán zakázat povinné osobě používání tohoto prvku nebo systému anebo jeho části do doby, než bude zjištěný nedostatek odstraněn."
1.1.25
§ 31, Sankce 1. odst. 2: stanovené sankce jsou nízké a nemotivující 2. odst. 2: návrh formulace: na konec vložit text "Pokutu lze uložit i opakovaně. Úhrn uložených pokut nesmí přesáhnut částku 5 000 000 Kč".
1.1.26
§ 33 1. odst. 1, písm. b): nepřesná formulace, umožňuje také výklad, že povinné osoby jsou povinné provádět protiopatření jen po dobu prvního roku od nabytí účinnosti zákona.
1.1.27
§ 34 1. písm. d): nepřesná formulace, umožňuje také výklad, že povinné osoby jsou povinné provádět protiopatření jen po dobu prvního roku od nabytí účinnosti zákona.
1.2
Definice, obsah a výklad pojmů 1. Není definován pojem Úřad. 2. Vysvětlit souvislost pojmů www.cybersecurity.cz)
evidenční číslo z Previdu
CERT
a
národní
CSIRT
(použit
na
6/12
NÁZEV PROJEKTU
1.2.1
Povinné osoby v oblasti kybernetické bezpečnosti, §3 1. Jak jsou definováni poskytovatelé služeb elektronických komunikací, je to ve smyslu zákona č. 127/2005 o elektronických komunikacích? 2. není definován termín "subjekt zajišťující sítě elektronických komunikaci spravující páteřní síť". Od identifikace příslušné povinné osoby se odvíjí další odpovědnosti a pravomoc. 3. Bylo by vhodné do přílohy taxativně vyjmenovat systémy a komunikační systémy kritické informační infrastruktury a významné informační systémy. Nebo alespoň jejich vlastníky. Dle této definice se zákon může teoreticky týkat jakékoliv sítě či systému nezávisle na tom, zda jsou veřejné, státní či soukromé. 4. Není jednoznačně určena vazba mezi výběrem/kategorizací povinných osob dle §3 a ustanoveními §7. 5. Chybí požadavky na povinné osoby (alespoň odkazem pokud jsou v jiném zákoně), na jejich odborné znalosti a bezpečnostní způsobilost. Podle tohoto zákona může být povinnou osobou kdokoliv (což je samo o sobě bezpečnostní riziko). 6. Poznámka: službou elektronických komunikací je služba obvykle poskytovaná za úplatu, která spočívá zcela nebo převážně v přenosu signálů po sítích elektronických komunikací, včetně telekomunikačních služeb a přenosových služeb v sítích používaných pro rozhlasové a televizní vysílání a v sítích kabelové televize, s výjimkou služeb, které nabízejí obsah prostřednictvím sítí a služeb elektronických komunikací nebo vykonávají redakční dohled nad obsahem přenášeným sítěmi a poskytovaným službami elektronických komunikací; nezahrnuje služby informační společnosti, které nespočívají zcela nebo převážně v přenosu signálů po sítích elektronických komunikací.
1.2.2
Kybernetická bezpečnostní událost, § 8 1. V §8 je nedostatečně definován událost a incident.
pojem Kybernetická bezpečnostní
Návrh formulace: Kybernetický bezpečnostní incident je událost s dopadem na služby nebo sítě elektronických komunikací a/nebo na informační systémy, která představuje narušení jejich bezpečnosti a pravidel definovaných k jejich ochraně, která je způsobilá ohrozit nebo poškodit zájem České republiky a jež je zařazena v seznamu typů kybernetických bezpečnostních událostí vydávaném formou vyhlášky NBÚ. Obdobně formulovat Kybernetickou bezpečnostní událost. 2. Měla by zde být uvedena alespoň základní klasifikace incidentů. Zda se jedná o zjištěnou zranitelnost, která nebyla zneužita ke kybernetickému útoku. Nebo zda se jedná již o uskutečněný kybernetický útok. Především by se měl vzít v úvahu i předpokládaný úmysl pachatele útoku, reálně možné nebo skutečné dopady kybernetického útoku. 3. Toto je zřejmě bez problémů u provozovatelů IS. V případě provozovatelů komunikací by toto znamenalo sledování a analýzu veškeré probíhající komunikace, což by mohlo být v rozporu se síťovou neutralitou a možní i zákonem o elektronických komunikacích. A bylo by toto poměrně hodně drahé.
evidenční číslo z Previdu
7/12
NÁZEV PROJEKTU
1.2.3
Reaktivní protiopatření, § 15 1. odst. 3: Nikde není stanoveno, jakého rozsahu (charakteru) mohou být tato opatření. Bude možné např. vypnout celý národní Internet, přerušit mobilní komunikaci, apod.? 2. odst. 3: Pokud bude nefunkční Internet, tak jak potom doručit rozhodnutí? Pomocí SMS? 3. Jak budou stanoveny termíny pro realizaci vydaných protiopatření reaktivních, ochranných?
1.2.4
Kontaktní údaje § 18: 1. Údaje odpovídají tzv. referenčním, měly by se získávat ze základních registrů 2. odst. 3: FO nyní není pověřena jednat ve věcech upravených tímto zákonem. 3. odst. 7: Předávání se předpokládá prostřednictvím ISDS? 4. odst. 5: Jak dlouho Úřad a provozovatel národního CERTu kontaktní údaje eviduje a uchovává? § 34 a 35: 5. písm. a): stanovit povinnost předávat pouze ty údaje, které neodpovídají referenčním v základních registrech 6. písm. a): text "oznamovat" nahradit textem "oznámit"
1.2.5
Analýza zranitelností Připomínka se týká § 19 Národní CERT písm. g) a § 23 Vládní CERT písm. h): 1. Analýza zranitelností se provádí jakým způsobem, u koho, v jakém rozsahu, jak často, čeho se týká, zda může CERT někoho pověřit?
1.2.6
Varování před hrozbou Připomínky se týkají § 19 Národní CERT písm. j) a § 23 Vládní CERT písm. j): 1. Text "vydává varování před hrozbou" nahradit textem "vydává předběžné protiopatření (varování před hrozbou)". 2. Varování se vydává pravidelně nebo dle aktuální potřeby?
1.2.7
Provozovatel Národního CERTu, § 20 1. Vidíme velké bezpečnostní riziko, pokud bude tento systém provozován komerční firmou. Pokud má existovat takovýto systém, měl by rozhodně být zcela v rukou státní organizace, u níž nehrozí únik informací.
1.2.8
Stav kybernetického nebezpečí, § 25 1. Chybí vysvětlení, k čemu vyhlášení má vést, a stanovení parametrů stavu nebezpečí, tj. např. co tento stav vlastně znamená resp. co se stane v důsledku jeho vyhlášení a jaké může mít dopady
evidenční číslo z Previdu
8/12
NÁZEV PROJEKTU
2. Plánuje se v tomto kritickém stavu nějaká kooperace s armádou/MO?? 3. odst. 2, upřesnit formulaci "Rozhodnutí o vyhlášení stavu kybernetického nebezpečí vláda do 24 hodin schválí nebo zruší" (zřejmě se jedná o 24 hodin od podání návrhu ředitelem Úřadu). 1.2.9
Komise pro kybernetickou bezpečnost, § 26 1. Nedostatečná definice Komise. 2. Doplnit odstavec s textem "Členem komise je vždy alespoň jeden zástupce provozovatele národního CERTu jmenovaný provozovatelem národního CERTu". 3. Není určena činnost resp. náplň práce Komise.
1.2.10
Národní centrum kybernetické bezpečnosti, ad §27, odst. 2c) 1. Není definována jeho činnost. 2. Pojem by měl být uveden i v §2 Vymezení pojmů.
1.2.11
Výkon státní správy, § 27 1. odst. 2, písm. a): není jasné, jaká bezpečnostní opatření a čeho se týkají. Opatření se obvykle stanovují individuálně pro každý systém zejména na základě nějaké analýzy rizik pro ten konkrétní systém a jeho provozní podmínky 2. odst. 2, písm. d): v textu je nadbytečná čárka před textem "z kritické informační infrastruktury". 3. odst. 2, písm. f): není jasné, o jaké evidence se jedná. 4. odst. 2, písm. o): skutečně by měl Úřad zajišťovat výzkum a vývoj v oblasti kybernetické bezpečnosti? Návrh formulace: „podporuje výzkum a vývoj v oblasti kybernetické bezpečnosti, navrhuje výzkumnou agendu v oblasti kybernetické bezpečnosti“. 5. odst. 2, písm. g): nepřesná formulace, dá se vykládat jako překrývání kompetencí mezi Úřadem a ministerstvem vnitra. Návrh: v bodu g) doplnit odkaz na §28 a stávající odst. 3 přesunout do §28, kde bude jednoznačné rozdělené kompetencí v oblasti kontroly.
1.2.12
Nápravná opatření, § 29 1. odst. 1: nedostatky jakého charakteru, jaké závažnosti? Nedostatky mohou být různé závažnosti, navíc některá rizika se akceptují, tj. nechávají se bez protiopatření, protože jejich realizace může být neúměrně nákladná. 2. odst. 2: je obtížné si představit zakázat používání prvku KI (resp. významného IS) v této oblasti na základě nějaké kontroly, protože se jedná bezpochyby o důležitý prvek, proto je součást KI. Stačí, aby někdo špatně posoudil nedostatky a prvek (systém) bude vyřazen. Výsledek může být katastrofičtější, než případný útok hackerů/teroristů.
1.2.13
Sankce, § 31 1. Je třeba umožnit povinným osobám informovat své zákazníky, subjekty údajů zpracovávaných ve významných informačních systémech atd. o incidentu (mj. i s ohledem na možné změny legislativy EU v oblasti ochrany osobních údajů – zavedení informační povinnosti o incidentu, při kterém došlo k prozrazení osobních údajů.). Pokud by bylo možné ustanovení § 11 ve spojení s § 10 odst. 1 písm. a) a b) vykládat tak, že povinnost mlčenlivosti se vztahuje i na mlčenlivost pracovníků povinné
evidenční číslo z Previdu
9/12
NÁZEV PROJEKTU
osoby o tom, že v nějakém systému k incidentu došlo a o jeho rozsahu, je třeba ho upravit. 2. odst. 1: Opatření se mohou lišit dle místních podmínek a některá mohou být tak nákladná, že je povinná osoba nebude moci financovat. Jak se toto bude řešit? 1.2.14
Přechodná ustanovení (§ 33 až § 35) 1. Pokud je to z legislativního hlediska možné, měla by být lhůta pro zavedení bezpečnostních opatření podle § 5 odvozována od vydání vyhlášky k provedení § 7 Úřadem. Formulace uvedená v návrhu může znamenat, že při neočekávaných prodlevách s vydáním vyhlášky způsobených např. připomínkovým řízením mohou mít povinné osoby na zavedení nebo změny opatření podle specifikací v této vyhlášce pouze několik málo měsíců. Přitom zavedení některých opatření (např. podle § 6 odst. 3 písm. e) nebo f)) může být technicky náročné a u některých organizací může vyžadovat vyhlášení veřejné soutěže. 2. Doporučuji zvážit urychlení účinnosti zákona nebo zkrácení některých přechodných období, zejména podle písmen b) a d) § 33 až § 35. Většina mechanismů definovaných v návrhu zákona bude podle uvedených lhůt funkční od 1. ledna 2016, tj. za tři roky (bez jednoho měsíce). Např. oba CERTy budou zřejmě v provozu o rok dříve, ale povinné osoby jim budou hlásit bezpečnostní incidenty na dobrovolné bázi. S ohledem na rostoucí závislost společnosti na elektronických komunikacích i rostoucí hrozby a současně na význam mechanismů definovaných v návrhu zákona je podle mne velmi žádoucí zkrátit toto dlouhé období.
1.2.15
Vazba na krizový zákon 1. Na krizový zákon (240/2000) se odvolává text v § 27, odst. 2, písm. r) a q), přičemž současné znění tohoto zákona nezná pojem kybernetická bezpečnost. Uvažuje se o novelizaci krizového zákona? 2. Uvažuje se o novelizaci nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury resp. seznamu prvků kritické infrastruktury (odvětvová-průřezová kritéria)? 3. V návrhu zákona není příliš dobře provedeno provázání s platnou legislativou týkající se krizového řízení především zákon 240/2000 Sb. a s návaznou legislativou. Není ani příliš zohledněna kritická infrastruktura státu, nejenom v oblasti elektronických komunikací, ale kompletní kritická infrastruktura státu, protože v podstatě ve všech případech, pokud dojde ke kybernetickému bezpečnostnímu incidentu na informačních a řídicích systémech souvisejících kritickou infrastrukturou státu, může dojít k významnému omezení provozu kritické infrastruktury státu. Příklad: napadení řídicích systémů distribučních sítí elektřiny, vody, plynu, řídicí systémy dopravy, řídicí systémy významných zdrojů energie atd.
1.3
Připomínky obecného charakteru 1. Povinné osoby mají mnoho povinností (dokladování, předávání údajů, apod.) a žádná práva.
evidenční číslo z Previdu
10/12
NÁZEV PROJEKTU
2. Není řešena vymahatelnost ze strany povinných osob po jejich klientech. 3. Nelze se opřít o jakýkoliv paragraf, pokud nějakého klienta povinná osoba např. odpojí od sítě. 4. Jak to bude s náhradou investovaných prostředků ze strany soukromých subjektů, pokud vydaná protiopatření budou nákladná? 5. Neexistuje přechodná lhůta pro nové subjekty, které budou podléhat zákonu, ale vzniknou až při jeho platnosti. 6. Návrh zákona nepostihuje pojem kybernetická bezpečnost. (kybernetická bezpečnost je souhrn právních, organizačních, technických, fyzických a vzdělávacích opatření namířených na zajištění nerušeného a bezvadného fungování kybernetického prostoru.) 7. Bylo by vhodné provést výrazně lepší vymezení pravomocí národního CERT §19 a vládního CERT §23. Především pod pojmem „provádí analýzu zranitelností“ se může zahrnout téměř vše. Od sbírání informací a vyhodnocování informací, které získají CERTY v souladu s tímto zákonem a z veřejných zdrojů, tak až po aktivní provádění bezpečnostních testů (testů zranitelností) vůči všem informačním systémům ve státě. 8. Není vymezena úloha, role a práva úřadu, vládního CERT, národního CERT a Národní centra kybernetické bezpečnosti v případě vyšetřování kybernetických incidentů, včetně technického, organizačního a trestně právního řešení kybernetických incidentů. Definování spolupráce s orgány činnými v trestním řízení. Možnost a oprávnění vyžadování dalších dat, informací a spolupráce ze strany úřadu, vládního CERT, národního CERT a národní centra kybernetické bezpečnosti od povinných osob v oblasti kybernetické bezpečnosti a jiných subjektů pro zabezpečení výkonu státní správy a vlastních činnosti. Úhrada nákladů za vyžádaná data, informace a spolupráci povinným osobám. Myšleny jsou další data a informace, než jsou povinné osoby v oblasti kybernetické bezpečnosti se zákona o kybernetické bezpečnosti samy předávat, které jsou třeba pro upřesnění analýz (včetně analýz zranitelnosti) nebo vyšetřování kybernetických incidentů 9. Bylo by vhodné v §10 doplnit Úřadu povinnost vést evidenci povinných osob dle specifikace v §18. V této souvislosti je otázkou, zdali takový seznam nově definované kritické infrastruktury nebude tvořit citlivou nebo utajovanou informaci "V". Seznam by neměl být veřejný. 10. V návrhu zákona je poměrně velmi slabě ošetřena mezinárodní spolupráce. V oblasti kybernetické bezpečnosti je naprosto klíčová přímá, rychlá a zbytečnou byrokracií neomezovaná mezinárodní spolupráce mezi CERTY (bez ohledu o jakou úroveň CERTU se jedná). V návrhu zákona je v §27 odst. 2 e) a l) mezinárodní spolupráce zajištěna cestou úřadu v součinnosti s ministerstvem zahraničí. Úřad v součinnosti s ministerstvem zahraničí by měl oficiálně na mezinárodní úrovni domluvit rámcová pravidla a každodenní spolupráce by měla fungovat na horizontální úrovni mezi CERTY popř. Národními centry kybernetické bezpečnosti. 11. Z návrhu zákona není zřejmé, kdo bude koordinovat řešení kybernetických incidentů, které se současně týkají více povinných osob v oblasti kybernetické bezpečnosti, ale ve své podstatě mohou mít (nebo mají) vážný dopad na kritickou infrastrukturu státu nebo na významné informační systémy státní správy a/nebo i jiných subjektů.
evidenční číslo z Previdu
11/12
NÁZEV PROJEKTU
12. V návrhu zákona nejsou nejlépe definované povinné osoby v §3 odst. c,d,e a v §2 odst. f, g z hlediska kybernetické bezpečnosti. Odpovědnou osobou by měl být ten subjekt, který informační systém a také řídicí systém využívá k zabezpečení jeho hlavní nebo významné podnikatelské činnosti nebo správní činnosti, bez ohledu, kdo je dodavatelem nebo smluvním správcem tohoto systému. Pokusíme se blíže vysvětlit na příkladu: významný provozovatel distribuční sítě elektrické energie využívá řídicí informační systém na řízení distribuční sítě, jehož napadení kybernetickým útokem může způsobit výpadek elektrické energie na významné části území ČR. Tato síť je zařazena do kritické infrastruktury státu. Tento řídicí informační systém se skládá z několika částí, kterou spravují různí smluvní dodavatelé tohoto významného provozovatele distribuční sítě elektrické energie, zpravidla bez komplexní znalosti celé problematiky distribuce elektrické energie a jejího zabezpečení. Oprávněnou osobou dle zákona o kybernetické bezpečnosti by měl být významný provozovatel distribuční sítě elektrické energie, nikoliv jednotliví správci částí řídicího informačního systému. 13. V současné době je na subjektivním rozhodnutí managementu společnosti, zdali společnost je ze zákona prvkem kritické infrastruktury. V některých případech by výklad parametrů měl být určen objektivně, rozhodnutím. (Případný soudní spor může mandatorně zařazené společnosti do prvků kritické infrastruktury potvrdit/vyvrátit správnost takového rozhodnutí.)
evidenční číslo z Previdu
12/12
