Zákon o kybernetické bezpečnosti

Pro které instituce je zákon závazný?

Zákon je závazný pro všechny subjekty stanovené v § 3 ZKB. Stanovení konkrétních orgánů nebo osob pak již závisí na splnění charakteristik nebo kritérií pro určení jednotlivých povinných osob.

Pokud si nejste jisti, zda Váš IS nebo KS spadá do některé z kategorií, můžete využít podpůrné materiály (schémata), které naleznete v sekci Povinné osoby.

Budou se muset tímto zákonem řídit i soukromé společnosti?

Pokud jsou soukromé společnosti poskytovatelem služeb elektronických komunikací nebo subjektem zajišťující síť elektronických komunikací, osobou zajišťující významné sítě (tj. takové, které zajišťují přímé zahraniční propojení do veřejných komunikačních sítí anebo přímé připojení ke KII), správcem nebo provozovatelem komunikačního nebo informačního systému kritické informační infrastruktury, provozovatelem základní služby, správcem nebo provozovatelem informačního systému základní služby nebo poskytovatelem digitální služby, pak ano.

Pozn.: Soukromé společnosti nespadají do kategorie významných informačních systémů.

Jaké povinnosti plynou ze ZKB? Jakým subjektům?

Odpověď na tuto otázku je nejlépe popsána ve schématu „Povinnosti orgánů a osob podle zákona č. 181/2014 Sb.“, které naleznete v sekci Podpůrné materiály. Kromě zmíněného schématu jsou všechny povinnosti uvedeny v ZKB a dále v jeho prováděcích právních předpisech.

Je zákon závazný pro veřejné vysoké školy?

Může být, pokud vysoké školy naplňují charakteristiku nebo kritéria stanovená pro povinné osoby.

Jak budou počítány lhůty pro plnění povinností podle zKB?

Lhůty jsou počítány jinak u každého z povinných subjektů. K vysvětlení jsme vydali podpůrný materiál, který naleznete v sekci Podpůrné materiály.

Počítá se s ročním přechodným obdobím po účinnosti ZKB?

Ano, přechodná období jsou však odlišná pro každý z jednotlivých povinných subjektů. Lhůty v rámci přechodných ustanovení pro splnění povinností u orgánů a osob dle § 3 písm. a) a b) již uplynuly. U orgánů nebo osob, které jsou správci dle § 3 písm. c), d) nebo e) se lhůty odvíjí vždy od určení konkrétního informačního nebo komunikačního systému, případně od data, kdy takový systém naplní zákonná kritéria. U orgánů nebo osob, které jsou provozovateli dle § 3 písm. c), d) nebo e) jsou přechodná ustanovení dána nově novelou prostřednictvím zákona č. 104/2017 Sb., kterým se mění také ZKB. Určení, že je subjekt provozovatelem, závisí ovšem také na správci předmětného systému. Pokud je tedy provozovatel informován správcem před uplynutím lhůty přechodných ustanovení, je povinen plnit povinnosti ve lhůtách stanovených těmito přechodnými ustanoveními. U orgánů nebo osob dle § 3 písm. f) se lhůty odvíjí od okamžiku, kdy byli provozovatelem předmětné základní služby informováni o tom, že jsou správci nebo provozovateli informačního systému předmětné základní služby. U orgánů nebo osob dle § 3 písm. h) je dána lhůta 30 dní na oznámení kontaktních údajů a roční lhůta na plnění ostatních zákonných povinností, počítané od 1. 8. 2017.

Bude núkib poskytovat určité finanční kompenzace subjektům, kterých se ZKB týká?

Z pozice Národního úřadu pro kybernetickou a informační bezpečnost nebudou poskytovány žádné finanční kompenzace.

Týká se zákon i soukromých registrů?

Pokud splní kritéria nebo jiné předpoklady povinných subjektů, pak může.

Jak se ZKB dotýká soukromých společností, které se zabývají zpracováváním osobních údajů?

Může se jich dotýkat tehdy, pokud splní kritéria, anebo naplní definice povinných osob.

Vztahuje se zákon i na ordinace praktických lékařů a jejich SW?

S největší pravděpodobností žádný software, užívaný v ordinacích praktických lékařů, nenaplní určující kritéria nebo definice, a v takovém případě se na ordinace zákon vztahovat nebude.

Kde nalezneme formuláře k hlášení kontaktních údajů a kybernetických bezpečnostních incidentů?

Potřebné formuláře naleznete v sekci Formuláře.

Jak se bude kontrolovat dodržování ZKB a jaké budou sankce za porušení zákona?

Dodržování zákona bude probíhat prostřednictvím kontroly Národním úřadem pro kybernetickou a informační bezpečnost, ke které je oprávněn na základě § 23 ZKB. Kontrola bude probíhat ve formě zhodnocení zavedených bezpečnostních opatření, jejich funkčnosti a dalšího plnění zákona. Kontrola probíhá v souladu se zákonem o kontrole.

Podle ZKB předá provozovatel systému správci tohoto systému data, provozní údaje a informace, které má k dispozici v souvislosti s provozováním tohoto systému. Rozumí se daty, provozními údaji nebo informacemi souvisejícími s provozováním tohoto systému i zdrojový kód systému?

Ne. Výčet, čítající data, provozní údaje a informace, které má provozovatel k dispozici v souvislosti s provozováním systému, do sebe nezahrnuje zdrojový kód.

Probíhá kontrola plnění povinností podle ZKB ze strany NÚKIB vždy u několika povinných osob zároveň, pokud se týká určitého systému? Probíhá tedy kontrola u správce a případných provozovatelů systému zároveň?

Kontrola plnění povinností podle ZKB probíhá ze strany NÚKIB vždy na úrovni konkrétní povinné osoby. Kontrola může probíhat buď pouze u správce, pouze u provozovatele nebo více provozovatelů nebo u všech povinných osob souběžně. Ve stejném období tak může být prováděno několik kontrol u několika povinných osob se zaměřením na stejný systém (současné kontroly správce i provozovatelů takového systému).

Jak přistoupit k situaci, kdy zákonem stanovené lhůty pro zavádění bezpečnostní opatření významně zkracuje nutnost vypisovat veřejné zakázky?

Za těchto podmínek je pro účely kontroly plnění uložených povinností potřeba doložit, že postup zavádění bezpečnostních opatření je plánován a opatření jsou implementována v souladu s tímto plánem. Tuto skutečnost je nutné promítnout v bezpečnostní dokumentaci, a to konkrétně v plánu zvládání rizik a prohlášení o aplikovatelnosti.

Kdy se subjekt stává provozovatelem systému ve smyslu § 2 odst. g) zákona? Je tak učiněno objektivním naplněním definice ze zákona nebo v momentě, kdy dojde k informování subjektu ze strany správce systému?

Provozovatelem systému se subjekt stává objektivním naplněním definice uvedené v § 2 písm. g) zákona. S ohledem na to, že o určení či naplnění kritérií prvku kritické informační infrastruktury, významného informačního systému nebo informačního systému základní služby má informace vždy jen správce kritické informační infrastruktury nebo významného informačního systému nebo provozovatel základní služby, je jeho notifikační proces vůči budoucímu provozovateli tohoto systému nutný. Tuto složitou otázku podrobně rozpracovává podpůrný materiál „Provozovatel informačního nebo komunikačního systému“, který naleznete v sekci Podpůrné materiály.


Vyhláška o významných informačních systémech

Kdo je primárně odpovědný za posouzení jednotlivých informačních systémů z pohledu VIS? Existuje nějaké doporučení k posuzování prvků VIS?

Za posouzení kritérií pro VIS je odpovědný sám správce. Jednotlivým orgánům veřejné moci doporučujeme posoudit naplnění kritérií pro VIS u jednotlivých informačních systémů interním aktem řízení – posloupností následujících činností (výsledkem je vytvoření závěrečné zprávy o posouzení kritérií u jednotlivých IS, která je schválena statutárním orgánem):

  1. Vytvoření seznamu jednotlivých informačních a komunikačních systémů.
  2. Statutární orgán OVM stanoví kompetence za posouzení naplnění kritérií pro VIS u systémů v seznamu vytvořeného v kroku 1. (např. stanoví, že za posouzení je odpovědný ředitel ICT nebo stanoví, že za posouzení je odpovědná určená skupina osob, která o závěru posouzení kritérií pro VIS u jednotlivých systémů hlasuje).
  3. U jednotlivých systémů, které naplňují kritéria pro VIS, doporučujeme napsat, která z kritérií to jsou.
  4. Vytvoření závěrečné zprávy o posouzení naplnění kritérií u jednotlivých systémů.
  5. Schválení závěrečné zprávy (interního aktu/pokynu) statutárním orgánem.
  6. Nahlášení kontaktních údajů na Národní úřad pro kybernetickou a informační bezpečnost.
Jakým způsobem můžeme nahlásit kontaktní údaje k VIS?

Vyplněním formuláře, který naleznete v sekci Formuláře. Formulář obsahuje i pokyny ke způsobu odeslání.

Může obec určit svůj informační systém jako VIS?

Nemůže, informační systémy spravované obcemi jsou vyjmuty z povinností stanovené pro VIS.

Co dělat, jestliže je náš informační systém uvedený v Příloze č. 1 ve vyhlášce o významných systémech, ale naplňuje kritéria pro určení prvku kritické informační infrastruktury?

Zákon předpokládá, že některé VIS se mohou stát KII. Pokud v rámci procesu určování prvků kritické informační infrastruktury opravdu dojde k závěru, že takový informační systém naplňuje kritéria pro určení KII, pak v době do určení na ní budou dopadat povinnosti pro VIS, od určení pak povinnosti pro KII. Pokud se domníváte, že Váš systém splňuje kritéria pro určení KII, prosím kontaktujte Národní úřad pro kybernetickou a informační bezpečnost.

Je-li subjekt správcem několika VIS, je zapotřebí vytvořit bezpečnostní dokumentaci ke každému systému nebo je možné mít dokumentaci jednotnou?

Akceptovatelné jsou obě varianty, upřednostňovaná je varianta jednotné bezpečnostní dokumentace.


Vyhláška o kybernetické bezpečnosti

Z které normy vychází zákon o kybernetické bezpečnosti?

Zákon vychází z norem řady ISO/IEC 27k.

Pokud jsme správcem např. dvou VIS a jednoho KII, musíme vypracovávat dokumentaci ke každému systému zvlášť?

Nikoliv, dokumentace může být jednotná.

Jakým způsobem může povinný subjekt zajistit naplnění všech povinností? Musí vše zajistit pomocí vlastních zdrojů, nebo může využít outsourcingu?

Samozřejmě, že je možné využít i outsourcing.

Co jsou bezpečnostní role dle zákona o kybernetické bezpečnosti?

Problematikou bezpečnostních rolí se zabývá jeden z našich podpůrných materiálů, který naleznete zde.

Je možné, aby byly bezpečnostní role ve vztahu ke konkrétnímu systému vykonávány stejným zaměstnancem? Je možné, aby tento zaměstnanec vykonával bezpečnostní role pro více povinných subjektů?

Podmínky slučování bezpečnostních rolí upravuje vyhláška o kybernetické bezpečnosti. Pokud není sloučení konkrétních rolí vyhláškou zakázáno, je možné role sloučit, přestože to na základě „best practice“ postupů nelze doporučit. Je možné, aby jedna osoba vykonávala bezpečnostní roli pro víc povinných subjektů. Obecně, na základě praktických poznatků, nelze doporučit např. ousourcing bezpečnostní role Manažer kybernetické bezpečnosti. Oproti tomu u role Auditora kybernetické bezpečnosti, která je neslučitelná s ostatními bezpečnostními rolemi, je často outsourcing dostatečně efektivním řešením.

Je možné, aby správce a provozovatel sdílel bezpečnostní dokumentaci (např. společnou zprávu o hodnocení rizik, společnou bezpečnostní politikou)?

V případě, že jsou splněny všechny náležitosti z pohledu právních předpisů a dokumentace je plně vyhovující i pro každý subjekt jednotlivě je takové sdílení možnou variantou.

Je možné vyhláškou vyžadované nároky jako zastupitelnost, dostupnost zdrojů, existenci bezpečnostní politiky atd. dokládat na koncernové úrovni?

Ano, to je možné. Stále je však nutné, aby takové řešení bylo funkční.


VYHLÁŠKA O KRITÉRIÍCH PRO URČENÍ PROVOZOVATELE ZÁKLADNÍ SLUŽBY

Vyhláška nabývá učinnosti dne 1. února 2018. Bližší informace k vyhlášce naleznete zde.

Jak se mohu stát provozovatelem základní služby?

Provozovatelem základní služby se subjekt stane, pokud naplní odvětvová a dopadová kritéria a bude tak určen Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB). Bližší informace naleznete v sekci podpůrné materiály.

Kde jsou definována odvětvová a dopadová kritéria pro určení provozovatele základní služby?

Kritéria pro určení provozovatele základní služby naleznete ve vyhlášce č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby.

Kdo určí provozovatele základní služby a informační systém základní služby?

Provozovatele základní služby určí NÚKIB a to rozhodnutím podle správního řádu (§ 22a ZKB).

Jak bude probíhat určování/posuzování naplnění dopadových kritérií?

Pro to, aby byl subjekt určen jako provozovatel základní služby, musí provozovat službu v některém ze zákonem definovaných a vyhlášce konkretizovaných odvětví. Provozovování této služby musí být závislé na informačním systému nebo síti elektronických komunikací (§ 2 písm. i) a j) ZKB). Pokud je tato podmínka naplněna, může být přistoupeno k detailnímu posouzení naplnění kritérií. Toto posouzení bude provádět NÚKIB v úzké spolupráci s posuzovaným subjektem.

Samotné určování bude probíhat následovně:

  1. Bude opatřen seznam subjektů naplňující definici druhu subjektu podle příslušné části přílohy vyhlášky.
  2. Budou vybrány pouze ty subjekty, které naplní alespoň jedno speciální kritérium druhu subjektu, je-li stanoveno.
  3. Se subjekty vybranými dle bodu 2) NÚKIB provede posouzení naplnění dopadových kritérií.
  4. Systémy, které naplní alespoň jedno dopadové kritérium, budou určeny jako informační systémy základní služby. Subjekt odpovědný za provozování služby bude určen jako provozovatel základní služby.
Co mám dělat, pokud se domnívám, že naplňuji kritéria pro provozovatele základní služby a informační systém základní služby?

V takovém případě se prosím obraťe přímo na sekretariát NÚKIB Brno, viz kontakty.

Jaké má provozovatel základní služby povinnosti?

Provozovatel základní služby musí nahlásit NÚKIB kontaktní údaje podle § 16 ZKB a dále musí na určený informační systém základní služby aplikovat bezpečností opatření podle § 5 ZKB a vést o nich bezpečnostní dokumentaci. Vedle toho musí detekovat a hlásit vládnímu CERT kybernetické bezpečností incidenty v informačním systému základní služby.

Bezpečnostní opatření, bezpečnostní dokumentace i náležitost hlášení kybernetického bezpečnostního incidentu konkretizuje vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti).

Provozovatel základní služby musí dále provádět opatření podle § 11 ZKB, jsou-li vydána.

Jaký je rozdíl mezi provozovatelem základní služby a provozovatelem informačního systému základní služby?

Jedná se o dvě odlišné osoby.

Provozovatel základní služby je definován v § 2 písm. k) ZKB jako orgán nebo osoba, která poskytuje základní službu a která je určena NÚKIB podle § 22a ZKB.

Provozovatel informačního systému základní služby, resp. provozovatel informačního nebo komunikačního systému obecně, je definován v § 2 písm. g) ZKB jako orgán nebo osoba zajišťující funkčnost technických a programových prostředků tvořících informační nebo komunikační systém.