Národní úřad pro kybernetickou a informační bezpečnost

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)

Dne 29. srpna 2014 vstoupil v platnost s účinností od 1. ledna 2015 zákon č. 181/2014 Sb., o kybernetické bezpečnosti.

Zákon o kybernetické bezpečnosti upravuje práva a povinnosti osob, jakož i pravomoc a působnost orgánů veřejné moci v oblasti kybernetické bezpečnosti. Zpracovává příslušné předpisy Evropské unie (jedná se o transpozici směrnice NIS) a upravuje zajišťování bezpečnosti sítí elektronických komunikací a informačních systémů.

Hlavním cílem zákona je:

stanovit základní úroveň bezpečnostních opatření,
zlepšit detekci kybernetických bezpečnostních incidentů,
zavést hlášení kybernetických bezpečnostních incidentů,
zavést systém opatření k reakci na kybernetické bezpečnostní incidenty,
upravit činnost dohledových pracovišť.

V roce 2017 proběhly dvě obsahově významné novely zákona o kybernetické bezpečnosti, a to prostřednictvím zákona č. 104/2017 Sb. s účinností od 1. července a zákona č. 205/2017 Sb. s účinností od 1. srpna 2017. K aktuálnímu datu proběhly ještě následující novelizace tohoto zákona – novelizace zákonem č. 183/2017 Sb., zákonem 35/2018 Sb., zákonem č. 111/2019 Sb., č. 12/2020 Sb., zákonem č. 261/2021 Sb., a aktuálně poslední novelizace zákonem č. 226/2022 Sb.

Aktuální znění zákona je účinné od 6. srpna 2022.

Zákon je dostupný na stránkách NÚKIB pod tímto odkazem:

Zákon o kybernetické bezpečnosti

NÚKIB vyzývá odbornou veřejnost k zasílání návrhů, které mohou být podnětem k návrhu změny obsahu zákona o kybernetické bezpečnosti. NÚKIB bude tyto návrhy pravidelně vyhodnocovat a v případě jejich relevantnosti je zapracovávat do připravovaných změn.

K zasílání navrhovaných změn využijte tento formulář:

Formulář k zasílání návrhů na změny zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ze strany odborné veřejnosti

Stáhnout [formát MS Word, docx](v1.0 platná ke dni 24.09.2021)

Vyplněné formuláře prosím zasílejte e-mailem na adresu regulace@nukib.cz, s předmětem „ZKB – návrhy změn“.

Odbornou veřejností navrhovaná změna však musí splňovat základní náležitosti, aby se jí NÚKIB zabýval. Podmínkou je, aby navrhovaná změna byla relevantní k dané problematice, byla alespoň stručně zdůvodněna a obsahovala návrh řešení. Navrhovaná změna musí ctít podmínky právního státu a principy, na kterých je postaven zákon o kybernetické bezpečnosti. NÚKIB si vyhrazuje právo navrhovanou změnu odmítnout, případně změnit její navrhovanou podobu při zachování původní myšlenky. Cílem NÚKIB je především blíže identifikovat praktické problémy s požadavky, které pro odbornou veřejnost a povinné osoby ze zákona plynou, a napomoci k jejich odstranění.

Tento proces není součástí žádného ze zákonem stanovených legislativních procesů. Návrhy změn je možné zasílat bez časového omezení (vždy však platí, že čím dříve budou návrhy úřadu známy, tím dříve bude možné je zohlednit).

Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Směrnice NIS)

Dne 6. července 2016 byla uveřejněna směrnice Evropského parlamentu a Rady (EU) 2016/1148 (dále jen „směrnice NIS“). Tato směrnice má za cíl harmonizovat právní úpravu členských států v oblasti bezpečnosti sítí a informačních systémů a zavést jednotný standard úrovně kybernetické bezpečnosti s cílem zlepšení fungování vnitřního trhu.

Některé povinnosti, které směrnice NIS ukládá, jsou v České republice zákonem č. 181/2014 Sb., o kybernetické bezpečnosti, a jeho prováděcími předpisy již řešeny.

Směrnice NIS mimo jiné rozšiřuje okruh subjektů, pro které budou stanoveny povinnosti v oblasti ochrany a prevence před kybernetickými bezpečnostními incidenty – jedná se o tzv. provozovatele základní služby a poskytovatele digitálních služeb (internetové vyhledávače, cloud computing a online tržiště). Požadavky směrnice zapracovává novela zákona o kybernetické bezpečnosti cestou zákona č. 205/2017 Sb. s účinností od 1. srpna 2017 (viz příslušná sekce stránek NÚKIB).

Transpoziční lhůta pro směrnici NIS je stanovena do 9. května 2018.

Směrnice NIS je dostupná na oficiálních stránkách EU pod tímto odkazem:

Směrnice NIS

Vyhláška o kybernetické bezpečnosti

Tato vyhláška zapracovává Směrnici NIS a pro informační systémy kritické informační infrastruktury, komunikační systémy kritické informační infrastruktury, významné informační systémy, informační systémy základní služby anebo informační systémy nebo sítě elektronických komunikací, které využívá poskytovatel digitálních služeb, upravuje:

obsah a strukturu bezpečnostní dokumentace,
obsah a rozsah bezpečnostních opatření,
typy, kategorie a hodnocení významnosti kybernetických bezpečnostních incidentů,
náležitosti a způsob hlášení kybernetického bezpečnostního incidentu,
náležitosti oznámení o provedení reaktivního opatření a jeho výsledku,
vzor oznámení kontaktních údajů a jeho formu,
způsob likvidace dat, provozních údajů, informací a jejich kopií.

Dostupné verze vyhlášek:

Nová vyhláška o kybernetické bezpečnosti byla zveřejněna ve Sbírce zákonů pod označením "Vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)".

Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích

Dne 19. prosince 2014 vstoupila v platnost vyhláška č. 317/2014 Sb. o významných informačních systémech a jejich určujících kritériích. Vyhláška stanovila významné informační systémy a kritéria pro jejich určení.

V roce 2020 byla přijata novela vyhlášky, která má za cíl zpřesnit kritéria pro určení toho, zda je daný informační systém významný. Nabytí účinnosti celého znění vyhlášky je rozloženo do tří období (měnit se bude znění § 2, první období nastává 1. ledna 2021). Kompletní znění nabude účinnosti dne 1. ledna 2023. Konsolidovaný text vyhlášky včetně znázornění jednotlivých „vln“ nabývání účinnosti § 2 je k dispozici zde.

Aktuální znění vyhlášky je účinné od 1. ledna 2021.

Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury

Nařízení vlády je platné od 30. prosince 2010. Nařízení vlády definuje průřezová a odvětvová kritéria pro určení prvku kritické infrastruktury. V příloze k nařízení vlády je definováno 9 odvětví, včetně jednotlivých odvětvových kritérií pro určení prvku kritické infrastruktury.

Toto nařízení vlády nabylo účinnosti 1. ledna 2011. V souvislosti se zahrnutím oblasti kybernetické bezpečnosti do odvětvových kritérií proběhla novela nařízením vlády č. 315/2014 Sb., s účinnosti od 1. ledna 2015.

Nařízení vlády je dostupné na stránkách NÚKIB pod tímto odkazem:

Nařízení vlády o kritériích pro určení prvku kritické infrastruktury (vč. kritické informační infrastruktury)

Vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby

Dne 15. prosince 2017 byla ve Sbírce zákonů České republiky vydána nová vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby.

Vyhlášku zpracoval Národní úřad pro kybernetickou a informační bezpečnost ve spolupráci s odbornou veřejností. Vyhláška zapracovává požadavky Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Směrnice NIS).

Vyhláška upravuje odvětvová a dopadová kritéria pro určení provozovatele základní služby a vymezení významnosti dopadu narušení základní služby na zabezpečení společenských nebo ekonomických činností podle § 22a odst. 1 zákona o kybernetické bezpečnosti.

Vyhláška nabyla účinnosti dne 1. února 2018.

Vyhláška byla rozeslána stejnopisem částky Sbírky zákonu České republiky č. 157/2017 dne 15. prosince 2017. Tato částka Sbírky zákonů České republiky je dostupná zde:
http://aplikace.mvcr.cz/sbirka-zakonu/SearchResult.aspx?q=437/2017&typeLaw=zakon&what=Cislo_zakona_smlouvy

Důvodová zpráva k vyhlášce a připomínky uplatněné v rámci meziresortního připomínkového řízení jsou dostupné zde (v sekci verze materiálu - Verze pro jednání vlády nebo LRV):
https://apps.odok.cz/veklep-detail?pid=ALBSARELD7DL

Podpůrné materiály a další informace k problematice určování provozovatele základní služby a informačního systému základní služby naleznete zde.

Od 1. ledna 2021 je účinné nové znění vyhlášky, kterým se v odvětví zdravotnictví mění dvě stávající kritéria a doplňují dvě nová kritéria (změna se týká speciálních kritérií druhu subjektu). Konsolidovaný text vyhlášky je k dispozici zde.

Vyhláška č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu

Dne 1. 9. 2021 vstoupila v platnost vyhláška o některých požadavcích pro zápis do katalogu cloud computingu, která provádí § 12 odst. 2 zákona č. 365/2000 Sb., o informačních systémech veřejné správy.

Tato vyhláška stanoví vybraný soubor vstupních kritérií pro zápis poskytovatelů služeb cloud computingu a služeb cloud computingu do katalogu cloud computingu vedeného Digitální a informační agenturou. Z tohoto katalogu následně bude umožněno orgánům veřejné správy pořizování těchto služeb s cílem zefektivnění provozu orgánů veřejné správy při výkonu jejich působnosti. Vstupní kritéria jsou rozdělena vzestupně do čtyř bezpečnostních úrovní. To, jakou bezpečnostní úroveň má orgán veřejné správy požadovat, je určeno vyhláškou o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci.

Vyhláška č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci

Dne 1. 9. 2021 vstoupila v platnost vyhláška o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci na základě zmocnění § 28 odst. 2 písm. a) zákona č. 181/2014 Sb., o kybernetické bezpečnosti.

Vyhláška přináší přehledný a jednoduchý právní rámec, který umožní orgánu veřejné moci ohodnocení významnosti informačního či komunikačního systému, který chce provozovat prostřednictvím služeb cloud computingu. Hodnocení se provádí z hlediska nejhorších možných dopadů v případě narušení důvěrnosti, dostupnosti či integrity daného systému nebo jeho části. Na základě hodnocení významnosti informačního nebo komunikačního systému orgán veřejné moci zařadí daný systém do příslušné bezpečnostní úrovně.

Na základě zařazení informačního či komunikačního systému do bezpečnostní úrovně potom orgán veřejné moci poptá službu cloud computingu, která mu umožní splnit bezpečnostní pravidla pro orgán veřejné moci využívající služeb cloud computingu stanovená pro příslušnou bezpečnostní úroveň. Tato bezpečnostní pravidla jsou předmětem připravované vyhlášky, jejíž vydání je plánované koncem tohoto roku.

Vyhláška č. 190/2023 Sb., o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu

Dne 1. 7. 2023 nabyla účinnosti vyhláška o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci vydaná na základě zmocnění § 28 odst. 2 písm. a) zákona č. 181/2014 Sb., o kybernetické bezpečnosti.

Tato vyhláška zavádí set požadavků, jejichž plnění musí orgán veřejné správy zajistit, jestliže chce k zajištění provozu svého informačního systému veřejné správy využívat služeb cloud computingu. Současně se vztahuje i na poskytovatele služeb cloud computingu v případě, že by chtěli své služby nabízet orgánům veřejné správy. Zákon č. 365/2000 Sb., o informačních systémech veřejné správy totiž požaduje, aby využívaný/poskytovaný cloud computing umožňoval orgánu veřejné správy podle pravidel obsažených ve vyhlášce postupovat.

Prováděcí nařízení EK ke Směrnici NIS, které stanoví bezpečnostní opatření a parametry významnosti dopadu incidentu pro poskytovatele digitálních služeb

Dne 31. ledna 2018 zveřejnila Evropská komise prováděcí nařízení komise (EU) 2018/151, kterým se stanoví pravidla pro uplatňování směrnice Evropského parlamentu a Rady (EU) 2016/1148 (Směrnice NIS). Toto prováděcí nařízení obsahuje bližší upřesnění bezpečnostních opatření, které musí poskytovatelé digitálních služeb (§ 3 písm. h) podle ZKB) zohledňovat při řízení bezpečnostních rizik, jimž jsou vystaveny sítě a informační systémy, a dále bližší upřesnění parametrů pro posuzování toho, zda je dopad incidentu významný. Toto prováděcí nařízení je účinné od 10. května 2018 a je přímo aplikovatelné. Pro poskytovatele digitálních služeb je tedy závazné.

Prováděcí nařízení je dostupné na oficiálních stránkách EU pod tímto odkazem:

http://eur-lex.europa.eu/legal-content/CS/TXT/?uri=uriserv:OJ.L_.2018.026.01.0048.01.CES&toc=OJ:L:2018:026:TOC

Hrozby

Upozornění na kompromitaci routerů Ubiquity Edge OS aktérem sponzorovaným ruským státem

Podle informací amerického ministerstva spravedlnosti a jejich tiskové zprávy měl ruským státem sponzorovaný aktér APT28 (též známý jako Forest Blizzard, Fancy Bear či Sofacy Group), podléhající ruskému vojenskému zpravodajství (GRU), vytvořit síť kompromitovaných routerů Ubiquity Edge OS (tzv. botnet síť). Kompromitace se týká stovek těchto zařízení pro malé či domácí kanceláře (SOHO routers), přičemž největší riziko kompromitace platí pro zařízení s výchozími administrátorskými hesly.

Podle amerických autorit se současný ruský botnet liší od předchozích způsobem jeho budování. APT28 totiž měla využít již dříve kompromitované routery malwarem Moobot spojovaným se známou kyberkriminální skupinou. Skrze tento malware poté došlo k instalaci dalších skriptů na kompromitovaných zařízeních, a tedy převzetí celé sítě. Cílem APT28 měla být kyberšpionáž skrze spear-phishingové kampaně či sběr přihlašovacích údajů, které byly vedeny vůči americkým i zahraničním vládním institucím, ale i společnostem obranného sektoru nebo dalším organizacím podléhajícím zpravodajskému zájmu ruské vlády.

Americký Federální úřad pro vyšetřování (FBI) byl autorizován k zásahu vůči kompromitovaným zařízením a zamezení dalším škodlivým aktivitám. Dotčeným routerům bylo upraveno nastavení firewallu, které omezilo možnost jejich vzdálené správy, a tím i možnost komunikace s infrastrukturou útočníka. Pro úplnou mitigaci je však třeba provést následující kroky:

Obnovit tovární nastavení routerů, aby došlo k odstranění škodlivých souborů. Aktualizovat zařízení na nejnovější verzi firmwaru. Změnit přednastavená uživatelská jména a hesla. Upravit nastavení firewallu k zamezení vzdálené správy zařízení. FBI dále silně doporučuje odpojit routery od přístupu k internetu, dokud nedojde ke změně přednastavených hesel.

NÚKIB doporučuje všem majitelům či uživatelům potenciálně kompromitovaných routerů Ubiquity Edge OS provést výše popsané kroky.

Do mezinárodní operace vedené USA se zapojilo také Vojenské zpravodajství, které o věci informovalo na svých webových stránkách. Vyjádření k tomu poskytl také předseda vlády Petr Fiala na svém profilu na sociální síti X.

Celá zpráva 16.02.2024

Legislativa KB