ZÁKON O KYBERNETICKÉ BEZPEČNOSTI JUDr. Mgr. Barbora Vlachová
[email protected]
PRÁVNÍ ZAKOTVENÍ KYBERNETICKÉ BEZPEČNOSTI •
zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)
•
prováděcí předpisy: • vyhláška č. 316/2014, o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitosti podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) • vyhláška č. 317/2014, o významných informačních systémech a jejich určujících kritériích • nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury, ve znění pozdějších předpisů
•
účinnost od 1. 1. 2015
DŮVODY PŘIJETÍ ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI •
závislost státu a společnosti na informačních technologiích
•
vzrůstající počet případů cílených útoků proti informačním technologiím – útoky jsou stále sofistikovanější
•
závazky ČR vůči NATO a EU
•
NATO – kybernetický prostor označuje za tzv. „pátou zónu války“
•
EU – návrh Směrnice Evropského Parlamentu a o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v Unii
•
potřeba centralizovaného řešení kybernetických útoků
•
nutnost zákonné regulace s přesně definovanými povinnostmi subjektů
PRINCIPY A CÍLE PRÁVNÍ ÚPRAVY •
princip technologické neutrality - užití výhradně obecných kritérií pro standardní zabezpečení informačních systémů a služeb a sítí elektronických komunikací – možno naplnit různými technologickými postupy
•
princip ochrany informačního sebeurčení člověka - ochrana diskrétních informací, právo aktivně přijímat, zpracovávat a komunikovat informace
•
princip ochrany nedistributivních práv - zajištění práva státu na vnitřní bezpečnost, na ochranu základních funkcionalit státu a na ochranu před škodlivými následky výjimečných stavů
•
princip minimalizace státního donucení – povinnosti dle skupin subjektů
•
princip autonomie vůle regulovaných subjektů – možnost zavést vlastní postupy pro zajištění kybernetické bezpečnosti
•
princip bdělosti ve vztahu k ostatním státům a k mezinárodnímu společenství – ochrana informačních systémů před zneužitím k útokům cíleným do zahraničí
POVINNÉ SUBJEKTY •
poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací
•
orgán nebo osoba zajišťující významnou síť
•
správce informačního systému kritické informační infrastruktury
•
správce komunikačního systému kritické informační infrastruktury
•
správce významného informačního systému
BEZPEČNOSTNÍ OPATŘENÍ •
organizační opatření - systém řízení bezpečnosti informací, řízení rizik, bezpečnostní politika, organizační bezpečnost, stanovení bezpečnostních požadavků pro dodavatele, řízení aktiv, bezpečnost lidských zdrojů, řízení provozu a komunikací, řízení přístupu osob, akvizice, vývoj a údržba informačních systémů, zvládání kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů, řízení kontinuity činností, kontrola a audit kritické informační infrastruktury a významných informačních systémů
•
technická opatření - fyzická bezpečnost, nástroj pro ochranu integrity komunikačních sítí, nástroj pro ověřování identity uživatelů, nástroj pro řízení přístupových oprávnění, nástroj pro ochranu před škodlivým kódem, nástroj pro zaznamenávání činnosti kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů, nástroj pro detekci kybernetických bezpečnostních událostí, nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí, aplikační bezpečnost, kryptografické prostředky, nástroj pro zajišťování úrovně dostupnosti informací a bezpečnost průmyslových a řídících systémů
KYBERNETICKÁ BEZPEČNOSTNÍ UDÁLOST A KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT •
kybernetická bezpečnostní událost - potenciální narušení bezpečnosti informací v informačních systémech nebo bezpečnosti služeb či bezpečnosti a integrity sítí elektronických komunikací
•
kybernetický bezpečnostní incident - skutečné narušení bezpečnosti informací v informačních systémech, bezpečnosti služeb nebo bezpečnosti a integrity sítí elektronických komunikací, a to v důsledku kybernetické bezpečnostní události
•
kybernetické bezpečnostní události mají povinné subjekty pouze povinnost detekovat, kybernetické bezpečnostní incidenty se musí stanoveným způsobem hlásit (národnímu CERT nebo vládnímu CERT)
•
opatření k jejich odvracení – varování, reaktivní opatření, ochranné opatření
NÁRODNÍ CERT A VLÁDNÍ CERT •
CERT (Computer Emergency Response Team) - místo, na které se mohou orgány a osoby obrátit se zjištěným kybernetickým bezpečnostním incidentem nebo i jen podezřením
•
národní CERT – osoba soukromého práva, se kterou uzavírá NBÚ veřejnoprávní smlouvu (pouze bezúhonná právnická osoba), obrací se na něj poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací a orgán nebo osoba zajišťující významnou síť, poskytuje podporu, pomoc a součinnost při výskytu kybernetického bezpečnostního incidentu
•
vládní CERT – součást NBÚ, obrací se na něj všechny ostatní subjekty, především přijímá údaje od zahraničních orgánů, které vykonávají působnost v oblasti kybernetické bezpečnosti, vede evidenci kybernetických bezpečnostních incidentů a údaje z ní poskytuje dalším orgánům, provádí hodnocení zranitelností v oblasti kybernetické bezpečnosti
STAV KYBERNETICKÉHO NEBEZPEČÍ •
stav, kdy jsou na základě narušení kyberprostoru ohroženy bezpečnostní zájmy České republiky
•
o vyhlášení stavu kybernetického nebezpečí rozhoduje ředitel NBÚ
•
vyhlašuje se vyvěšením na úřední desce NBÚ, zveřejňuje se v celoplošném rozhlasovém a televizním vysílání
•
vyhlašuje se nejdéle na 7 dnů (lze prodloužit až na 30 dnů)
•
až jako mezní prostředek, nelze-li odvrátit jinými prostředky
•
není-li možné odvrátit v rámci stavu kybernetického nebezpečí, ředitel NBÚ požádá vládu o vyhlášení nouzového stavu
STÁTNÍ KONTROLA V OBLASTI KYBERNETICKÉ BEZPEČNOSTI •
státní správu a kontrolu v oblasti kybernetické bezpečnosti vykonává NBÚ ukládá pokuty za správní delikty podle tohoto zákona, působí jako koordinační orgán ve stavu kybernetického nebezpečí, zajišťuje mezinárodní spolupráci, sjednává a uzavírá smlouvy o mezinárodní spolupráci, zajišťuje prevenci, vzdělávání a metodickou podporu v oblasti kybernetické bezpečnosti, zajišťuje výzkum a vývoj v oblasti kybernetické bezpečnosti, zasílá Ministerstvu vnitra návrh prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti, jejichž provozovatelem je organizační složka státu, určuje podle krizového zákona prvky kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti, pokud nejde o prvky uvedené v písmeni
•
ukládá nápravná opatření, pokud zjistí u kontrolovaných subjektů nedostatky
•
správní delikty právnických osob – pokuta až 100 000,00 Kč
•
správní delikty fyzických osob – pokuta až 50 000,00 Kč
DĚKUJI ZA POZORNOST.
