Kybernetická část, známá pod názvem Národní centrum kybernetické bezpečnosti (NCKB), se oddělí od Národního bezpečnostního úřadu (NBÚ) a vznikne z ní nový Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

V pátek 14. 7. 2017 byl ve Sbírce zákonů publikován zákon číslo 205/2017 Sb., kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti). Zákon nabývá účinnosti dne 1. srpna 2017.

Jedním z důsledků novelizace zákona je, že od 1. srpna 2017 už NBÚ nebude gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast. K prvnímu srpnu převezme tyto kompetence nově vniklý Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

Základní komponentu nově vzniklého úřadu bude tvořit NCKB, které se k 1. 8. 2017 vydělí ze struktur NBÚ společně s dalšími částmi NBÚ, kterými jsou ochrana utajovaných informací v informačních a komunikačních systémech, kryptografická ochrana a neveřejná služba v rámci družicového systému Galileo. Od výše uvedeného data tedy veškerou agendu z oblasti kybernetické a informační bezpečnosti přebírá nově vzniklý úřad NÚKIB.

NBÚ zůstává ústředním správním úřadem pro ochranu utajovaných informací v oblastech fyzické bezpečnosti, administrativní bezpečnosti, průmyslové bezpečnosti, personální bezpezpečnosti a bezpečnostní způsobilosti.

NÚKIB bude nově ústředním správním orgánem pro kybernetickou bezpečnost včetně ochrany utajovaných informací v oblasti informačních a komunikačních systémů a kryptografické ochrany. Dále bude mít na starosti problematiku neveřejné služby v rámci družicového systému Galileo.

Obsah zákona vyhlášeného pod číslem 205/2017 Sb., který zpracoval Národní bezpečnostní úřad, lze shrnout do těchto tří oblastí:

  • transpozice směrnice Evropského Parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v rámci EU.

Transpozice směrnice zavádí do českého právního řádu nové typy subjektů, na něž se budou vztahovat povinnosti vyplývající ze zákona o  kybernetické bezpečnosti. Na jedné straně to jsou provozovatelé základních služeb (například ze sektoru energetiky, dopravy nebo zdravotnictví), tedy služeb, jež jsou pro fungování státu klíčové. Tyto povinné subjekty bude určovat Národní úřad pro kybernetickou a informační bezpečnost svým rozhodnutím na základě kritérií stanovených prováděcích vyhláškou.

Druhým typem nových povinných subjektů jsou tzv. poskytovatelé digitálních služeb, tedy ty právnické osoby, které nabízejí službu internetového vyhledávače, internetového tržiště nebo cloud computingu za podmínky, že se nejedná o mikropodniky nebo malopodniky. Poskytovatelé digitálních služeb nebudou určováni Národním úřadem pro kybernetickou a informační bezpečnost, ale své podřazení pod zákon o kybernetické bezpečnosti si určí sami.

Základními povinnostmi, jež se na zákonem vymezené subjekty budou vztahovat, bude povinnost oznámit kontaktní údaje podle § 16 zákona, přijmout a provádět bezpečnostní opatření podle § 4 zákona a hlásit kybernetické bezpečnostní incidenty podle § 8 zákona.

  • reakce na poznatky z dosavadní aplikace zákona o kybernetické bezpečnosti, které byly akcentovány i v  materiálu Bílá místa kybernetické bezpečnosti v České republice. Konkrétně se jedná například o úpravu vztahů mezi správci kritické informační infrastruktury či významných informačních systémů a dodavateli informačních a komunikačních technologií a služeb nebo poskytování informací podle zákona o svobodném přístupu k informacím.
  • vznik Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Tento úřad vzniká jako ústřední orgán státní správy. Česká republika se tak připojila k evropským státům, jako je například Spolková republika Německo, Francie, Lucembursko, Chorvatsko, Nizozemsko, Belgie, Finsko, Švédsko nebo Maďarsko, jež pro oblast kybernetické bezpečnosti zřídily samostatné orgány státní správy. Sídlo nového úřadu bude v Brně.

Na přijetí zákona číslo 205/2017 Sb. bude navazovat vydání vyhlášky o kritériích pro určení provozovatele základní služby a novely vyhlášky č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti).