Nově přijatý Zákon o kybernetické bezpečnosti je založen na třech pilířích, kterými jsou bezpečnostní opatření, hlášení kybernetických bezpečnostních incidentů a opatření NBÚ. Hlavními zásadami zákona jsou snaha minimalizovat zásahy do práv soukromých subjektů, individuální odpovědnost každého subjektu za bezpečnost vlastní sítě a technologická neutralita.
Zákon o kybernetické bezpečnosti upravuje „práva a povinnosti osob a působnost a pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti“[1]. Cílem Zákona je stanovení minimálních požadavků na standardní zabezpečení kritické informační infrastruktury, významných informačních systémů a významných sítí a zajistit dohledovým pracovištím přehled o situaci v kybernetické bezpečnosti, a to tak, aby zásahy do soukromé sféry povinných subjektů byly co nejmenší. Proto má být právní úprava co do struktury zpracovávaných dat o kybernetických bezpečnostních incidentech minimalistická. Zároveň je třeba zabezpečit prostředí tvořené informačními systémy a službami a sítěmi elektronických komunikací tak, aby v důsledku kybernetických bezpečnostních incidentů nedošlo k ohrožení jeho existence a funkčnosti. Právní úprava má předcházet výskytu kybernetických bezpečnostních incidentů a v případě, že se takové incidenty vyskytnou, má zamezit tomu, aby ohrozily celkové fungování informačních a komunikačních systémů. Snaha o minimalizaci státního donucení je patrná ze zaměření na informační a komunikační systémy, které mají vzhledem k účelu Zákona zásadní význam – tedy na systémy a sítě tvořící kritickou informační infrastrukturu a na významné informační systémy. Právní úprava klade důraz také na autonomii vůle – ponechává možnost využití různých zabezpečovacích technologií, důležité je jen dosažení cílového stavu. Zákon nereguluje informační a komunikační systémy, které nakládají s utajovanými informacemi[2], ani nezakládá trestní odpovědnost pachatelů kybernetických útoků.
Právní úprava také předpokládá spolupráci na evropské a mezinárodní úrovni a snaží se bránit škodám, které by mohly vzniknout ostatním státům. Systém odhalování a řešení kybernetických bezpečnostních incidentů tak bude chránit zájmy České republiky jak přímo, tak i formou ochrany před zneužitím českých komunikačních a informačních systémů ke kybernetickým útokům zaměřeným mimo českou jurisdikci. Tím bude Česká republika chráněna před možnou mezinárodněprávní odpovědností, která by mohla v budoucnu nastat.
Kritickou informační infrastrukturou je „prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti.“
Významným informačním systémem je „informační systém spravovaný orgánem veřejné moci, u kterého může narušení bezpečnosti omezit nebo výrazně ohrozit výkon působnosti orgánů veřejné moci a který není kritickou informační infrastrukturou. Z definice Významného informačního systému v Kybernetickém zákoně vyplývá, že významným informačním systémem může být pouze systém spravovaný v rámci veřejné sféry.“
Významnou sítí je síť elektronických komunikací, která zajišťuje přímé zahraniční propojení do veřejných komunikačních sítí nebo zajišťuje přímé připojení ke kritické informační infrastruktuře.
Subjekty
Zákon ukládá povinnosti v oblasti kybernetické bezpečnosti jak osobám soukromého, tak osobám veřejného práva. Stanovuje pět skupin regulovaných subjektů, kterými jsou: poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací, orgány nebo osoby zajišťující významnou síť, správce informačního systému kritické informační infrastruktury a správce významného informačního systému.
Správcem komunikačního nebo informačního systému je orgán nebo osoba, které určují účel zpracování informací a podmínky provozování komunikačního nebo informačního systému. Správci jsou tak například jednotlivá ministerstva nebo jiné ústřední správní úřady.
Kybernetická bezpečnostní událost a kybernetický bezpečnostní incident
Kybernetickou bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací1.
Kybernetickým bezpečnostním incidentem je narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací1 v důsledku kybernetické bezpečnostní události.
Systém zajištění kybernetické bezpečnosti bude probíhat pomocí bezpečnostních opatření, hlášení kybernetických bezpečnostních incidentů a jejich následné evidence a provádění opatření k ochraně informačních systémů a služeb a sítí elektronických komunikací.
Bezpečnostní opatření je v Kybernetickém zákoně definováno jako souhrn úkonů, jejichž cílem je zajištění bezpečnosti informací v informačních systémech a dostupnosti a spolehlivosti služeb a sítí elektronických komunikací1 v kybernetickém prostoru. Bezpečnostní opatření se dělí na opatření organizační a opatření technická. Konkrétní opatření spadající do těchto skupin jsou vyjmenována v §5 (2) a (3) Kybernetického zákona.
Neprovádí-li povinný subjekt bezpečnostní opatření nebo nezavede-li bezpečnostní dokumentaci, dopustí se správního deliktu, za nějž mu hrozí sankce do výše 100.000 Kč.
Obsah bezpečnostních opatření, obsah a struktura bezpečnostní dokumentace a rozsah bezpečnostních opatření pro povinné subjekty (=správce informačního systému kritické informační infrastruktury, správce komunikačního systému kritické informační infrastruktury a správce významného informačního systému) je stanoven v prováděcích právních předpisech. Typy a kategorie incidentů a způsob jejich hlášení jsou obsaženy ve Vyhlášce o kybernetické bezpečnosti.
Správce informačního systému kritické informační infrastruktury, správce komunikačního systému kritické informační infrastruktury a správce významného informačního systému jsou povinni v rozsahu nezbytném pro zajištění kybernetické bezpečnosti zavést a provádět bezpečnostní opatření pro informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém a vést o nich bezpečnostní dokumentaci. Výše uvedené subjekty jsou také povinny zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatelů pro informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém. Zohlednění těchto požadavků v míře nezbytné pro splnění povinností podle Kybernetického zákona nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěže.
Hlášení
Subjekty uvedené v § 3 písm. b) až e) jsou povinny bezodkladně po odhalení kybernetického bezpečnostního incidentu v jejich významné síti, informačním systému nebo komunikačním systému kritické bezpečnostní infrastruktury, nebo významném informačním systému, tento incident hlásit. Tím není dotčena informační povinnost podle jiných právních předpisů (například §98 (4) a §99 (4) zákona 127/2005 Sb., ve znění pozdějších předpisů).
Neohlásí-li povinný subjekt kybernetický bezpečnostní incident, bude mu uložena sankce do výše 100.000 Kč.
Subjekty zajišťující významnou síť hlásí kybernetické bezpečnostní incidenty provozovateli národního CERT. Správce informačního systému kritické informační infrastruktury, správce komunikačního systému kritické informační infrastruktury a správce významného informačního systému hlásí kybernetické bezpečnostní incidenty NBÚ.
Evidence
Evidenci kybernetických bezpečnostních útoků vede NBÚ. Tato evidence obsahuje hlášení kybernetického bezpečnostního incidentu, identifikační údaje systému, ve kterém se kybernetický bezpečnostní incident vyskytl a údaje o zdroji kybernetického bezpečnostního incidentu, postup při řešení kybernetického bezpečnostního incidentu a jeho výsledek. NBÚ poskytuje údaje z evidence bezpečnostních incidentů orgánům veřejné moci, pokud jsou potřebné k výkonu jejich působnosti a dále provozovateli národního CERT, orgánům vykonávajícím působnost v oblasti kybernetické bezpečnosti v zahraničí a jiným osobám působícím v oblasti kybernetické bezpečnosti v rozsahu nezbytném pro zajištění ochrany kybernetického prostoru.
Pro zaměstnance NBÚ platí povinnost mlčenlivosti o údajích z evidence incidentů, která trvá i po skončení pracovněprávního vztahu k NBÚ. Této povinnosti mohou být zproštěni pouze ředitelem NBÚ, s uvedením rozsahu údajů a rozsahu zproštění. Poruší-li zaměstnanec povinnost mlčenlivosti, dopustí se přestupku a bude mu uložena pokuta do výše 50.000 Kč.
Opatření
Opatření jsou činnosti, jejichž provedení je nutné k ochraně informačních systémů, služeb a sítí elektronických komunikací[3] před hrozbou v oblasti kybernetické bezpečnosti nebo před kybernetickým bezpečnostním incidentem anebo k řešení již nastalého kybernetického bezpečnostního incidentu. Opatření se dělí na varování, reaktivní opatření a ochranné opatření.
Varování vydá NBÚ dozví-li se o hrozbě v oblasti kybernetické bezpečnosti. NBÚ zveřejní varování na svých internetových stránkách a informuje o něm osoby uvedené v §3 Kybernetického zákona, jejichž kontaktní údaje jsou vedeny v evidenci podle §16 (4) Kybernetického zákona.
Reaktivní a ochranné opatření
Úřad vydá rozhodnutí, ve kterém uloží provést reaktivní opatření k řešení kybernetického bezpečnostního incidentu anebo k zabezpečení informačních systémů nebo sítí a služeb elektronických komunikací1 před kybernetickým bezpečnostním incidentem, které je prvním úkonem ve věci. Nepodaří-li se rozhodnutí adresátovi doručit do vlastních rukou do 3 dnů ode dne jeho vydání, doručí se mu tak, že se vyvěsí na úřední desce Úřadu a tímto okamžikem je vykonatelné. Rozhodnutí podle věty první může Úřad vydat i v řízení na místě podle správního řádu.
Pokud by se reaktivní opatření mělo týkat blíže neurčeného okruhu subjektů, vydá je NBÚ ve formě opatření obecné povahy. NBÚ ukládá na základě analýzy již vyřešených kybernetických bezpečnostních incidentů také ochranná opatření formou opatření obecné povahy. Tato opatření nabývají účinnosti okamžikem jejich vyvěšení na desce NBÚ.
Nesplní-li povinný subjekt za stavu kybernetického nebezpečí povinnost uloženou NBÚ v rozhodnutí nebo v opatření obecné povahy nebo nesplní-li některou z povinností uloženou nápravným opatřením podle §24 Kybernetického zákona, dopustí se správního deliktu. Za takové správní delikty se uloží pokuta do výše 100.000 Kč. Stejná sankce hrozí i v případě nesplnění povinnosti uložené NBÚ v rozhodnutí nebo opatření obecné povahy podle §13 nebo 14 Kybernetického zákona.
Stav kybernetického nebezpečí
Dle Kybernetického zákona je stavem kybernetického nebezpečí stav, ve kterém je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech nebo bezpečnost a integrita služeb nebo sítí elektronických komunikací1, a tím by mohlo dojít k porušení nebo došlo k ohrožení zájmu České republiky ve smyslu zákona upravujícího ochranu utajovaných informací. Stav kybernetického nebezpečí je možné stanovit pouze v případě, že výše uvedené ohrožení bezpečnosti nelze odvrátit činností NBÚ. O vyhlášení stavu kybernetického nebezpečí rozhoduje ředitel NBÚ a tento stav se vyhlašuje na dobu nezbytně nutnou, nejdéle na 7 dnů. Tato doba může být prodloužena, nejdéle však na 30 dnů.
Dohled
Provádění dohledu nad dodržováním zákona budou zajišťovat dvě dohledová pracoviště – pracoviště vládního CERTu, který bude provozován NBÚ jako součást Národního centra kybernetické bezpečnosti a pracoviště národního CERTu, který bude provozován právnickou osobou soukromého práva a ke své činnosti bude oprávněn na základě veřejnoprávní smlouvy uzavřené s NBÚ. Tato právnická osoba bude vybrána v řízení o výběru žádosti podle správního řádu. Národní CERT je subjektem, vůči němuž své Zákonem stanovené povinnosti v oblasti kybernetické bezpečnosti plní zejména subjekty uvedené v §3 a) a b) – tedy poskytovatelé služby elektronických komunikací, subjekty zajišťující síť elektronických komunikací a orgány nebo osoby zajišťující významnou síť.
Národní CERT je pracoviště, které zajišťuje v rozsahu stanoveném Zákonem o kybernetické bezpečnosti sdílení informací na národní i mezinárodní úrovni v oblasti kybernetické bezpečnosti. Provozovatel národního CERT také přijímá oznámení kontaktních údajů od subjektů dle §3 a) a b) Zákona (poskytovatelé služby elektronických komunikací, subjekty zajišťující síť elektronických komunikací a orgány nebo osoby zajišťující významnou síť) a tyto údaje eviduje a uchovává, poskytuje těmto subjektům metodickou podporu, pomoc a součinnost při výskytu kybernetického bezpečnostního incidentu a působí pro ně jako kontaktní místo.
Povinností provozovatele národního CERT vůči osobám zajišťujícím významnou síť je navíc přijímání hlášení o kybernetických bezpečnostních incidentech, jejich evidence, uchovávání a ochrana a dále vyhodnocování kybernetických bezpečnostních incidentů.
Provozovatel národního CERTu dále zajišťuje provádění hodnocení zranitelností v oblasti kybernetické bezpečnosti.
Ve vztahu k NBÚ zajišťuje národní CERT předávání údajů o kybernetických bezpečnostních incidentech NBÚ a na vyžádání NBÚ za stavu kybernetického nebezpečí zajišťuje předávání kontaktních údajů poskytovatelů služby elektronických komunikací, subjektů zajišťujících síť elektronických komunikací a orgánů nebo osob zajišťujících významnou síť.
Národní CERT nebude disponovat nařizovacími pravomocemi, bude fungovat pouze jako metodická podpora subjektů, které projeví zájem o kolektivní ochranu před kybernetickými bezpečnostními incidenty. Díky své soukromoprávní povaze bude národní CERT moci využít toho, že jeho provozovatel jakožto soukromý subjekt bude moci v nepředvídatelných situacích reagovat operativně, činit vše, co mu není zákonem zakázáno a vytvořit nová řešení či technické postupy.
Vládní CERT bude orgánem poskytujícím podporu pro zajišťování kybernetické bezpečnosti jak pro osoby soukromé, tak veřejnoprávní. Vládní CERT přijímá oznámení kontaktních údajů, hlášení o kybernetických bezpečnostních incidentech od orgánů a osob uvedených v §3 písm. c) až e), poskytuje těmto subjektům součinnost a vyhodnocuje údaje o kybernetických bezpečnostních incidentech a kybernetických bezpečnostních událostech z těchto subjektů.
Vládní CERT také přijímá podněty a údaje od všech povinných subjektů i od jiných subjektů, od provozovatele národního CERT a od orgánů vykonávajících působnost v oblasti kybernetické bezpečnosti v zahraničí a tyto údaje a podněty vyhodnocuje. Poskytuje podle § 9 odst. 4 provozovateli národního CERT, orgánům vykonávajícím působnost v oblasti kybernetické bezpečnosti v zahraničí a jiným osobám působícím v oblasti kybernetické bezpečnosti údaje z evidence incidentů a provádí hodnocení zranitelností v oblasti kybernetické bezpečnosti.
Vládní CERT působící jako součást NBÚ bude disponovat nařizovacími a sankčními pravomocemi a zajišťovat uplatňování státní moci v oblasti kybernetické bezpečnosti.
Důležitá bude efektivní komunikace mezi oběma subjekty, která bude probíhat zejména formou výměny informací o řešení kybernetických bezpečnostních incidentů. Výhodou existence jednoho soukromoprávního a druhého veřejnoprávního subjektu je i to, „že pro oba typy dohledových pracovišť existují specifické kooperativní struktury - zjednodušeně řečeno pak mají k některým kolaborativním aktivitám přístup jen dohledová pracoviště mající charakter orgánů veřejné moci a k jiným naopak jen soukromoprávní subjekty. Model dvou centrálních dohledových pracovišť zajistí České republice přísun a využití užitečných informací z obou uvedených sfér.“
Kontrola
Kontrolu v oblasti kybernetické bezpečnosti provádí NBÚ. NBÚ kontroluje, jak povinné subjekty plní jím uložené povinnosti, a to jak za standartních okolností, tak za stavu kybernetického nebezpečí. V případě, že NBÚ při kontrole zjistí nedostatky, uloží kontrolovanému subjektu, aby je ve stanovené lhůtě odstranil. Zjistí-li NBÚ, že IS KII, KS KII nebo VIS je pro závažné nedostatky bezprostředně ohrožen kybernetickým bezpečnostním incidentem, může kontrolovanému orgánu zakázat používání systému nebo jeho části do doby, než budou nedostatky odstraněny.
Delikty a sankce
Správní delikty podle Kybernetického zákona projednává NBÚ. Právnická osoba za správní delikt neodpovídá, pokud prokáže, že vynaložila veškeré úsilí, které je možné požadovat, aby porušení právní povinnosti zabránila. Odpovědnost právnické osoby za správní delikt zaniká, jestliže Úřad o něm nezahájil řízení do 1 roku ode dne, kdy se o něm dozvěděl, nejpozději však do 3 let ode dne, kdy byl správní delikt spáchán. Došlo-li k porušení povinností uložených Zákonem o kybernetické bezpečnosti při podnikání fyzické osoby nebo v přímé souvislosti s ním, použijí se ustanovení Kybernetického zákona o odpovědnosti a postihu právnické osoby.
Co se týče splnění kritérií zákona, odborníci uvádí, že problémy by neměly nastat ve větších společnostech, spíše se obávají situace v malých firmách a organizacích státní správy. Většina soukromých v současné době požadavky na bezpečnost splňuje – v některých větších společnostech existují i role bezpečnostního správce nebo manažera. Odborníci spatřují největší problém v tom, že v mnohých společnostech se neřeší, kdo je za co v bezpečnosti dat odpovědný.