Kybernetická bezpečnost ČR 2015 aktivity NBÚ
Jaroslav Šmíd náměstek ředitele NBÚ
Legislativa - implementace
o Účinnost zákona 181/2014 Sb. o kybernetické bezpečnosti od 1. ledna 2015 • 315. Nařízení vlády, kterým se mění nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury • 316. Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení • náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) • 317. Vyhláška o významných informačních systémech a jejich určujících kritériích 2
Legislativa - implementace Národní strategie kybernetické bezpečnosti České republiky na období let 2015 až 2020
o 16. února 2015 schválena Vládou ČR o Cílena především na veřejný sektor a kritickou informační infrastrukturu (KII)
3
Legislativa - implementace Národní strategie kybernetické bezpečnosti České republiky na období let 2015 až 2020
Struktura oÚvod
1.Vize 2.Principy 3.Výzvy 4.Hlavní cíle oZpůsob implementace oPřílohy (zkratky, slovník pojmů) 4
Legislativa - implementace Národní strategie kybernetické bezpečnosti České republiky na období let 2015 až 2020 Principy o Ochrana základních lidských práv a svobod a principů demokratického právního státu o Komplexní přístup ke kybernetické bezpečnosti založený na principu subsidiarity a spolupráce o Budování důvěry a spolupráce mezi veřejným a soukromým sektorem a občanskou společností
o Rozvoj kapacit k zajišťování kybernetické bezpečnosti
5
Legislativa - implementace Akční plán k NSKB 2015 až 2020
o Přijat vládou ČR v květnu 2015 o Obsah: o Definuje konkrétní kroky o Stanovuje termíny plnění o Určuje odpovědné subjekty o 141 úkolů pro 17 subjektů: NBÚ/NCKB, MO, MZV, MV, MPO, MF, MŠMT, MPSV, MS, VZ, BIS, ÚZSI, TAČR, PČR, VP, ÚV ČR a ČTÚ 6
Legislativa - implementace Akční plán k NSKB 2015 až 2020 - náhled:
7
Národní spolupráce
o MV o PČR
o MO o ZS o Výběr provozovatele Národního CSIRT
8
Mezinárodní spolupráce
o EU o směrnice NIS, kybernetická diplomacie, … o ENISA – řídící výbor, expertní skupina o OBSE
o NATO o Nové memorandum o spolupráci v kybernetické obraně o Stálý zástupce v CCDCOE v Tallinnu
o CECSP – založeno NBÚ 9
Mezinárodní spolupráce
o Izrael o V listopadu 2014 podepsáno společné prohlášení o spolupráci v oblasti kybernetické bezpečnosti o Israeli National Cyber Bureau – sminář „For Decision makers from the Czech Republic“
o USA o DHS, FBI, U.S.Cybercommand, Marshall European Center
o Jižní Korea o Společná deklarace o partnerství (26. února 2015) 10
Možný budoucí vývoj v kontextu EU o NIS - Směrnice o bezpečností sítí a informací (Network and Information Security directive) o Směrnice by měla v členských státech zavést minimální požadavky na zabezpečení digitálních technologií, sítí a služeb
o Předpokládán dopad na ty poskytovatele zdravotní péče, kteří naplní průřezová a odvětvová kritéria o Průřezová kritéria se týkají poskytování služeb pro zachování společenských a ekonomických činností a bezpečnosti obyvatel o Měl by být zohledněn počet klientů, závislost ostatních sektorů, spádová oblast, dostupnost alternativ apod.
o Stanovení odvětvových kritérií ponecháno členským státům o O podobě i dopadech směrnice stále jednáno 11
Kybernetická cvičení
o Locked Shields 2015 – duben o Organizováno CCDCOE - 16 států, více než 400 účastníků
o Cyber Czech 2015 o Červen – strategické cvičení ve spolupráci EDA a Estonsken (ECSI) o Říjen – technické cvičení v prostředí KYPO
o CyberCoalition 2015 (NATO) - listopad o CMX 2015 (NATO) o CyberEurope 2015 (ENISA) 12
Kritická informační infrastruktura (KII)
o Od účinnosti zákona o kybernetické bezpečnosti cca 100 jednání mezi zástupci NBÚ a potencionálními správci KII
o Určování prvků KII rozděleno do tří základních vln o 1. vlna: Ministerstva a ústřední správní úřady (Ministerstva a ÚSÚ určeny jako KI) o 2. vlna: zbývající část státní správy o 3. vlna: soukromý sektor
13
Kritická informační infrastruktura (KII)
o Určování prvků KII o 1. vlna: Ministerstva a ústřední správní úřady (Ministerstva a ÚSÚ určeny jako KI) o 25. května 2015 vládou schváleno 45 prvků KII, které spravují organizační složky státu
o 2. vlna: zbývající část státní správy o 15. září 2015 předloženy ke schválení další 3 prvky KII u organizačních složek státu 2. vlna stále probíhá - probíhají další jednání
14
Kritická informační infrastruktura (KII)
o Určování prvků KII o 3. vlna: soukromý sektor - společnosti poskytující klíčové služby (odvětví: energetika, bankovnictví, telekomunikace,…) o 3. srpna 2015 vydáno 10 návrhů opatření obecné povahy určující 17 prvků KII u 10 soukromoprávních subjektu - datum nabytí účinnosti těchto OOP - 9. října 2015 o Příští týden bude vydáno 6 návrhů opatření obecné povahy určující 17 prvků KII u 6 soukromoprávních subjektu o Dokončována jednání s dalšími 8 správci KII o Kontaktováni další potencionální správci KII
15
Kritická informační infrastruktura (KII)
o Určování prvků KII o Shrnutí KII - Veřejný sektor
KII - Soukromý sektor
45 prvků určeno
17 prvků určeno (OOP vydáno)
3 prvky předloženy vládě 17 prvků připraveno k určení (OOP připraveno) Probíhají další jednání
Dokončována jednání s dalšími 8 potencionálními správci KII 16
Kritická informační infrastruktura (KII)
o Určování prvků KII o Vydaná a účinná OOP Státní pokladna centrum sdílených služeb s. p. (1 KII) Správa železniční a dopravní cesty s. o. (1 KII) Řízení letového provozu České republiky, s. p. (1 KII) MERO, a. s. (3 KII) Komerční banka, a.s. (2 KII) Československá obchodní banka, a.s. (2 KII) Česká pošta s. p. (1 KII) Česká spořitelna, a.s. (2 KII) ČEPS, a. s. (2 KII) ČEPRO a. s. (2 KII) 17
Významné informační systémy (VIS) o Seznam VIS uvedený v příloze č. 1 vyhlášky č. 317/2014 Sb., o Nyní 92 významných informačních systémů u 35 orgánů veřejné moci o 22 z nich přeřazeno do KII o 19 systémů nově určeno
o Finalizuje se určení VIS ve správě krajů – systémy nahlašovány o 2 – 4 VIS na jeden kraj
o Seznam ve vyhlášce bude aktualizován o Předpoklad, že by kritéria pro VIS mohly naplnit například i některé univerzity a soudy 18
Kontrola plnění povinností o Kontrola bude spuštěna v závislosti na určení konkrétního prvku o Od 1. 1. 2016 – kontroly u správců VIS uvedených ve vyhlášce o Ostatní VIS - rok od určení
o Od 25. 5. 2016 – kontroly u správců 45 prvků KII určených v první vlně o Prvky KII v soukromém sektoru – rok od právní moci OOP
19
Projekt „Sondy“
o Pilotní projekt o Zkušenosti o Výběrové řízení na nákup o Instalace – státní správa, kritická infrastruktura
20
Děkuji za pozornost!
Jaroslav Šmíd náměstek ředitele NBÚ
[email protected] www.nbu.cz www.govcert.cz
21
