Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

Dagmar Brechlerová







Vláda České republiky 2. ledna 2014 schválila Návrh zákona o kybernetické bezpečnosti a o změně souvisejících zákonů (tzv. Zákon o kybernetické bezpečnosti) Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

 



http://www.nbu.cz/cs/ 19. října 2011 přijala vláda ČR usnesení č. 781 o ustavení Národního bezpečnostního úřadu gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast. Přílohou usnesení je Statut Rady pro kybernetickou bezpečnost. Na základě usnesení vzniklo Národní centrum kybernetické bezpečnosti (NCKB), jako součást Národního bezpečnostního úřadu, se sídlem v Brně.

       

http://www.govcert.cz/cs/ Úkoly: provozovat Vládní CERT České republiky (GovCERT.CZ) spolupráce s ostatními národními CERT® týmy a CSIRT týmy spolupráce s mezinárodními CERT® týmy a CSIRT týmy příprava bezpečnostních standardů pro jednotlivé kategorie organizací v ČR osvěta a podpora vzdělávání v oblasti kybernetické bezpečnosti výzkum a vývoj v oblasti kybernetické bezpečnosti

 



Platnost 1.1.2015 1 rok přechodné období Tento zákon upravuje práva a povinnosti osob a působnost a pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti.



Tento zákon se nevztahuje na informační nebo komunikační systémy, které nakládají s utajovanými informacemi.

Kritickou informační infrastrukturou… prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti, Významným informačním systémem informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci, Obě tyto skupiny nemají průnik § 2 zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů. Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury změněno viz dále Kybernetická bezpečnostní událost a kybernetický bezpečnostní incident

   



315 NAŘÍZENÍ VLÁDY ze dne 8. prosince 2014, kterým se mění nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury



Mezi kritickou skupinu tak může patřit např. energetika (výroba, přenos, distribuce, skladování elektřiny, zemního plynu, ropy a ropných produktů). Vodní hospodářství. Potravinářství a zemědělská výroba. Zdravotnictví. Doprava (silniční, železniční, letecká, vodní). Komunikační a informační systémy. Technologické prvky pevné sítě elektronických komunikací. Technologické prvky mobilní sítě elektronických komunikací. Technologické prvky pro rozhlasové a televizní vysílání. Technologické prvky pro satelitní komunikaci. Technologické prvky pro poštovní služby. Technologické prvky informačních systémů. Finanční trh a měna. Nouzové služby. IZS. Radiační monitorování. Předpovědní, varovná a hlásná služba Veřejná správa. Veřejné finance. Sociální ochrana a zaměstnanost. Ostatní státní správa. Zpravodajské služby



Mezi významné informační systémy by měla patřit například čtveřice základních registrů. Dále se dá počítat s tím, že významným informačním systémem budou třeba datové schránky Portál veřejné správy, centrální registr vozidel, centrální registr řidičů, registr pojištěnců všeobecného zdravotního pojištění, rejstřík trestů, či třeba systémy z oblasti sociálního zabezpečení a mnohé další.

Orgány a osoby uvedené v § 3 písm. b) až e) jsou povinny hlásit kybernetické bezpečnostní incidenty v jejich významné síti, informačním systému kritické informační infrastruktury, komunikačním systému kritické informační infrastruktury nebo významném informačním systému, a to bezodkladně po jejich detekci; tím není dotčena informační povinnost podle jiného právního předpisu Komu: někteří NBU ( vládní CERT), někteří provozovateli národního CERT.



 

Navrhovaná právní úprava počítá se zřízením dvou dohledových pracovišt, a to národního a vládního CERT, jejichž úkolem bude vyhodnocování kybernetické bezpečnostní situace v informačních a komunikačních systémech a ochrana těchto systémů před kybernetickými bezpečnostními incidenty. Národní CERT Vládní CERT







Usnesení vlády uložilo řediteli NBÚ vybudovat do konce roku 2015 plně funkční Národní centrum kybernetické bezpečnosti a vládní koordinační místo pro okamžitou reakci na počítačové incidenty, tzv. vládní CERT, který bude součástí Národního centra kybernetické bezpečnosti, tj. součástí NBÚ. Systémy veřejné správy i celkovou koordinaci Vládní CERT se svými nařizovacími a kontrolními pravomocemi tak bude primárně přímo působit pouze na vybrané informační a komunikační systémy, které mají pro národní zájmy České republiky vitální charakter, tj. na oblast kritické informační infrastruktury a významných informačních systémů.





Reflektuje poptávku osob soukromého práva po centralizovaném soukromoprávním řešení sběru informací o kybernetické bezpečnostní situaci, jakož i potřebu metodiky a asistence při účinnému řešení různých typů kybernetických bezpečnostních incidentů ve většině informačních a komunikačních systémů stojících mimo shora uvedené vitální prvky. Pro privátní sektor

 







Bezpečnostní opatření Detekce kybernetických bezpečnostních událostí Hlášení kybernetických bezpečnostních incidentů, povinnost Systém opatření k reakci na kybernetické bezpečnostní incidenty Činnost dohledových pracovišť (národní CERT a vládní CERT).



..stanovit minimální požadavky na standardní zabezpečení kritické informační infrastruktury a významných informačních systémů a zajistit vládnímu dohledovému pracovišti v reálném čase přehled o kybernetické bezpečnostní situaci v kritické informační infrastruktuře a ve významných informačních systémech.

Povinnost subjektů zajišťujících významné sítě hlásit kybernetické bezpečnostní incidenty národnímu CERT a povinnost provádět opatření vydaná NBÚ ve stavu kybernetického nebezpečí: kontroluje a sankcionuje NBÚ, Povinnosti správců informačních a komunikačních systémů kritické informační infrastruktury zavádět a dokumentovat bezpečnostní opatření, oznamovat kontaktní údaje vládnímu CERT, hlásit kybernetické bezpečnostní incidenty vládnímu CERT a provádět opatření vydaná NBÚ: kontroluje a sankcionuje NBÚ.

Již konkrétní věci…. Např. Orgán a osoba uvedená v § 3 písm. c) a d) zákona určí bezpečnostní role  manažer kybernetické bezpečnosti,  architekt kybernetické bezpečnosti,  auditor kybernetické bezpečnosti a  garant aktiva.

(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2 zákona tím, že vede a aktualizuje bezpečnostní dokumentaci, která obsahuje  bezpečnostní politiku podle § 5 odst. 1,  zprávy z auditu kybernetické bezpečnosti podle § 3 odst. 1 písm. f),  zprávy z přezkoumání systému řízení bezpečnosti informací podle § 3 odst. 1 písm. g),  metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik podle § 4 odst. 1 písm. a),  zprávu o hodnocení rizik podle § 4 odst. 1 písm. b) a c),  prohlášení o aplikovatelnosti podle § 4 odst. 1 písm. d),  plán zvládání rizik podle § 4 odst. 1 písm. e),  plán rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. a),  zvládání kybernetických bezpečnostních incidentů podle § 13 odst. 1 písm. e),  strategii řízení kontinuity činností podle § 14 odst. 1 písm. c) a  přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků podle § 15 odst. 1 písm. a).



        



(2) Orgán a osoba uvedená v § 3 písm. e) zákona splní povinnost podle § 4 odst. 2 zákona tím, že vede bezpečnostní dokumentaci, která obsahuje bezpečnostní politiku podle § 5 odst. 2, metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik podle § 4 odst. 2 písm. a), zprávu o hodnocení rizik podle § 4 odst. 2 písm. b) a c), prohlášení o aplikovatelnosti podle § 4 odst. 2 písm. d), plán zvládání rizik podle § 4 odst. 2 písm. e), plán rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. a), zvládání kybernetických bezpečnostních incidentů podle § 13 odst. 1 písm. e), strategii řízení kontinuity činností podle § 14 odst. 1 písm. c) a přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků podle § 15 odst. 1 písm. a).





(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona vede bezpečnostní dokumentaci tak, aby záznamy o provedených činnostech byly úplné, čitelné, snadno identifikovatelné a aby se daly snadno vyhledat. Opatření potřebná k identifikaci, uložení, ochraně, vyhledání, době platnosti a uspořádání záznamů o provedených činnostech dokumentuje. (4) Struktura bezpečnostní dokumentace je stanovena v příloze č. 4 k této vyhlášce.

    

Co to je Kategorie Jak hlásit Kam ,,,,,,





V případě, že je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech nebo sítích elektronických komunikací, a mohly by tím být porušeny zájmy ČR. O vyhlášení stavu kybernetického nebezpečí, který v souhrnu nesmí trvat déle než 30 dnů, by rozhodoval ředitel NBÚ. Není-li možné odvrátit ohrožení bezpečnosti v rámci stavu kybernetického nebezpečí, požádá ředitel NBÚ vládu o vyhlášení nouzového stavu. Stav kybernetického nebezpečí vyhlašuje předseda vlády, do 24 hodin ho pak musí schválit i vláda.



Nastanou těžké časy….. Nejsou specialisté A určitě na za peníze ve státní sféře



Děkuji za pozornost

 