Zákon o kybernetické bezpečnosti na startovní čáře

Zákon o kybernetické bezpečnosti na startovní čáře

81% velkých společností zažilo v roce 2013 bezpečnostní incident

2,2 – 4 mil. Kč Cena nejzávažnějšího bezpečnostního incidentu v malé společnosti – dvojnásobek ceny v roce 2012

31% Procento nejzávažnějších bezpečnostních incidentů způsobených lidskou chybou

58% velkých společností mělo bezpečnostní incident zaviněný zaměstnancem

10% Průměrná velikost IT rozpočtu věnovaná ve velkých firmách na zabezpečení (15% pro menší podniky)

21 – 40 mil. Kč Cena nejzávažnějšího bezpečnostního incidentu ve velké společnosti

73% velkých společností se stalo obětí viru nebo škodlivého softwaru

1/5 Počet nejzávažnějších bezpečnostních incidentů způsobených úmyslným zneužitím zaměstnanci

16 Průměrný počet incidentů, které velké společnosti v roce 2013 řešily

Zdroj: IBM X-Force® Research & Development

Zákon o kybernetické bezpečnosti Cíl: zajištění vysoké úrovně síťové a informační bezpečnosti a řešení zásadních bezpečnostních incidentů

Zákon o kybernetické bezpečnosti Proč zrovna zákon?

Varianty ochrany: Nulová IS nakládající s utajovanými informacemi Veřejné IS Kybernetický prostor + soukromá spolupráce SOUČASNÝ STAV Kybernetický prostor + regulátor

Zákon o kybernetické bezpečnosti Proč nový zákon? • Objekt regulace • Systematika a prostředky • Kritická informační infrastruktura

ZKB 1) Zavazuje odlišný okruh subjektů 2) Stav kybernetického nebezpečí 3) Specifické pojmy 4) Kompetence orgánů

Krizový zákon 1) Obecně závazný 2) Krizový stav

Zákon o kybernetické bezpečnosti Vztah zákona a jiných právních předpisů Směrnice o EKI

Návrh směrnice o kybernetické bezpečnosti

Transponována

Krizový zákon

ZEK Uplatní se paralelně

Kritéria prvků KI

Zákon o kybernetické bezpečnosti

Novela

Nařízení o určení prvku kritické infrastruktury (KI)

ZISVS

Pojmy

Subjekty, povinnosti

Prováděcí vyhlášky

ZOUI

Nařízení vlády a prováděcí vyhlášky ● Vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) • Schválena 15. prosince 2014 ● Vyhláška č. 317/2014 Sb., o stanovení významných informačních systémů a jejich určujících kritériích • Schválena 15. prosince 2014 ● Novela nařízení vlády č. 432/2010 Sb. • Schválena 8. prosince 2014, usnesení Vlády ČR č. 1010 ● Vyhlášeno ve sbírce zákonů dne 19. prosince 2014, účinné od 1. ledna 2015.

Zákonná úprava Jakým způsobem má být kyberprostor zabezpečen?

Zákonná úprava Základní principy

● Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje

Zákonná úprava Základní principy

● Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje ● Zákon subjekty rozděluje do pěti kategorií 1. Poskytovatel služeb el. kom. / sítí el. kom. Méně exponované 2. Orgán/osoba zajišťující významnou síť subjekty 3. Správce informačního systému KII Více exponované 4. Správce komunikačního systému KII subjekty 5. Správci významných IS ● Každé kategorii ukládá zákon různé povinnosti ● Intenzita povinností se odvíjí od podílu dané kategorie na jejím významu pro kybernetickou bezpečnost

Zákonná úprava Základní principy

● Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury • Průřezovým kritériem pro určení prvku kritické infrastruktury je hledisko: a) obětí s mezní hodnotou více než 250 mrtvých nebo více než 2 500 osob s následnou hospitalizací po dobu delší než 24 hodin, b) ekonomického dopadu s mezní hodnotou hospodářské ztráty státu vyšší než 0,5% hrubého domácího produktu, nebo c) dopadu na veřejnost s mezní hodnotou rozsáhlého omezení poskytování nezbytných služeb nebo jiného závažného zásahu do každodenního života postihujícího více než 125 000 osob.

Zákonná úprava Základní principy

● Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje ● Národní CERT

● Vládní CERT

?

Zákonná úprava Základní principy

● Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje ● Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a ochranných a reaktivních opatření.

Zákonná úprava Základní principy

● Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje ● Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a ochranných a reaktivních opatření. ● Bezpečnostní opatření • Organizační – např. plánování, procesy, kontrola • Technická – např. kryptografie, oprávnění, fyzická bezpečnost ● Pouze pro správce významných IS a výše (3-5) ● 1 rok na adaptaci ● Specifikuje vyhláška NBÚ

Zákonná úprava Základní principy

● Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje ● Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a ochranných a reaktivních opatření ● Evidence kybernetických bezpečnostních událostí ● Hlášení kybernetických bezpečnostních incidentů  vyhodnocení hrozeb  opatření ● Od osob zajišťujících významnou síť výše ● 1 rok na započetí s hlášením ● Opět specifikuje vyhláška NBÚ

Zákonná úprava Základní principy

● Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje ● Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a ochranných a reaktivních opatření ● ●

Preventivní povaha Reakce na vyřešený bezpečnostní incident či získané zkušenosti ● Forma • Opatření obecné povahy

●

Okamžitá reakce na výskyt bezpečnostního incidentu ● Forma • Rozhodnutí • Opatření obecné povahy

Varování – vydává se v případě zjištění hrozby (součástí může být i doporučené řešení)

Zákonná úprava Základní principy

● Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje ● Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a ochranných a reaktivních opatření ● Zaveden nový mimořádný stav – stav kybernetického nebezpečí

Zákonná úprava Základní principy

●

●

● Ohrožení bezpečnosti nebo integrity informací, služeb nebo sítí velkého rozsahu a které riziko ohrožení Zákon ukládá povinnosti osobám, mají významný ČR podíl na zájmů informační infrastruktuře na území státu a stát s Nerozšiřuje kompetence orgánů, rozšiřuje pouze těmito●osobami skrze zřízené instituce spolupracuje okruh subjektů povinných provádět opatření Kyberprostor ČRnajeúřední pak chráněn pomocí bezpečnostních ● Informace desce a v médiích

opatření, hlášení a ochrannýchh a reaktivních opatření ● Zaveden nový mimořádný stav – stav kybernetického nebezpečí

Zákonná úprava Základní principy

● Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje ● Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a ochranných a reaktivních opatření ● Zaveden nový mimořádný stav – stav kybernetického nebezpečí ● Dodržování výše uvedeného je NBÚ oprávněn kontrolovat a při porušení ukládat sankce

Zákonná úprava Základní principy

●

● ●

● Kontrola plnění zákonných povinností • u méně exponovaných subjektů pouze plnění povinností za stavu Zákon ukládá povinnosti osobám, které majínebezpečí významný kybernetického podíl na informační infrastruktuře naexponovaných území státu, a státv s • u více subjektů plném rozsahu vč. aktualizace těmito osobami skrze zřízené instituce spolupracuje ● Přiměřené kontaktních údajů rozsahu Kyberprostor ČR je pak chráněn pomocí bezpečnostních ● Nemusí být předem ohlašovány zmocnění ke opatření, kontrole hlášení a preventivních a reaktivních opatření. ● Uložení povinnosti odstranit i zákazu systém používat Zaveden● nový stavnedostatky – stav kybernetického Pokutamimořádný do výše

nebezpečí100.000 Kč ● Dodržování výše uvedeného je NBÚ oprávněn kontrolovat a při porušení ukládat sankce

Ke startovní čáře…

Ke startovní čáře Co nás čeká a nemine

• Všechny povinné subjekty: Předání kontaktních údajů příslušnému CERT 1 měsíc

• Subjekty 2-5: Monitoring a hlášení (3-5) kybernetických bezpečnostních incidentů 1 rok od určení

• Více exponované subjekty (3-5): Implementace bezpečnostních opatření 1 rok od určení

• Sledování vývoje

Ke startovní čáře Hlášení kontaktních údajů - formulář Část A: Údaje o orgánu a osobě uvedené v § 3 zákona Název včetně odlišujícího dodatku nebo dalšího označení Adresa sídla Identifikační číslo Část B: Identifikace informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému

Část C: Údaje o fyzické osobě, která je za orgán nebo osobu uvedenou v § 3 zákona oprávněna jednat ve věcech upravených zákonem Jméno, příjmení Telefon – pevná linka Mobilní telefon Adresa elektronické pošty

Ke startovní čáře Hlášení kybernetického incidentu , hlášení provedení opatření ● Přílohy k Vyhlášce k ZKB

Nárůst poptávky po profesionálech z oboru zabezpečení počítačových systémů

Náklady a administrativní zátěž pro povinné subjekty

Stále zůstává lidský prvek

Vliv na atraktivitu ČR pro ICT investory

Příležitost pro dodavatele certifikovaných IS a bezpečných řešení obecně

Zvýšení důvěryhodnosti českého online prostředí

Naplnění účelu zákona ve státní sféře závisí na dalších faktorech

Riziko vysokých škod pro providery B2B služeb

Děkuji za pozornost [email protected]

Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated and associated businesses. Bird & Bird LLP is a limited liability partnership, registered in England and Wales with registered number OC340318 and is authorised and regulated by the Solicitors Regulation Authority. Its registered office and principal place of business is at 15 Fetter Lane, London EC4A 1JP. A list of members of Bird & Bird LLP and of any non-members who are designated as partners, and of their respective professional qualifications, is open to inspection at that address. twobirds.com