Zákon o kybernetické bezpečnosti – praktický komentář

Co je smyslem zákona

Smyslem zákona je zlepšit ochranu státem provozovaných informačních technologií. Zákon tak míří především na státní organizace. Ty ale pro naplnění svých úkolů využívají i soukromé společnosti, takže zákon je důležitý pro širší skupinu subjektů.

Koho se zákon týká

Zákon o kybernetické bezpečnosti přímo jmenuje jako subjekty poskytovatele komunikačních služeb a správce kritických a významných informačních systémů. Jde zejména o státní systémy, kromě těch, které obsahující utajované informace.

Co zákon znamená pro firmy

Pokud firma nepracuje s utajovanými informacemi nebo neposkytuje státu komunikační technolgie, nemusí se zákonem zabývat vůbec.

Pokud poskytuje služby státu v oblasti utajovaných informací, vždy jde o firmy s bezpečnostní prověrkou a znalost tohoto zákona je pro jejich pracovníky nezbyná.

Co zákon obsahuje

Zákon stanovuje požadavky na zajištění bezpečnosti utajovaných informací. Konkrétní postupy stanovují navazující vyhlášky, samotný zákon je poměrně obecný:

  • Postupy a omezení výběru dodavatelů
  • Procesní opatření typu řízení rizik, bezpečnostní politiky a řízení události
  • Technická opatření od ochrany před viry po využívání šifrování

Procesní opatření

Zákon se inspiroval většinou jiných nařízení pro řízení bezpečnosti a zavádí poměrně silná administrativní opatření, která mají napomoci udržet kontrolu nad správou bezpečnostních systémů. Jejich hlavním efektem je minimalizace rizika, že se problémy budou tutlat.

Identifikace a zpracování bezpečnostních incidentů

Evidence incidentů a realizace přiměřených opatření a to jak reaktivních (zachránit, co se dá), tak preventivních (neopakovat průšvih).

Informovanost na úrovni státu

Důležitou, a pravděpodobně nejdůležitější částí zákona je systém vzájemné komunikace mezi státními institucemi, ať už jde o partnerskou komunikaci (mezi dvěma subjekty, především s provozovatelem systému) nebo hromadná komunikace formou varování (vyhlášení stavu kybernetického nebezpečí).

Vynutitelnost zákona

Zákon samozřejmě obsahuje i nástroje umožňující jeho vynucení. Zahrnuje možnosti kontroly a řízení deliktů.

Co přinesla novela zákona č. 104 /2017 Sb.

Novela obecně umožňuje přenést některé administrativní povinnosti ze státního orgánu na (typicky) komerčního provozovatele. Jde především o agendu sledování a hlášení incidentů. Logika přenesení je srozumitelná, v praxi může vést k větší tendenci incident tutlat, protože na tom provozovatel bude mít komerční zájem.

Druhou změnou jsou větší páky, které stát vůči provozovateli získává, ať už jde o vyšší pokuty, kratší dobu řízení nebo větší pravomoci dohledového orgánu. Zejména 10x větší pokuty mohou se konečně dostávají do hodnot (1 000 000 Kč), které jsou pro poskytovatele systému motivační, aby na bezpečnosti skutečně pracoval.

Praktickým dopadem u z hlediska komerčních poskytovatelů – zejména těch, kteří spoléhají na „vazby“ na státní organizace – je přenesení rozhodování o větších investicích do IT přímo na vládu (nad 6 mil Kč). Opět se přitvrdila centralizace státu.

V souvislosti s GDPR nařízení, které umožňuje přístup k osobním údajům, pokud tak stanovuje jiná legislativa, se do zákona o kybernetické bezpečnosti dostává povolení pro poskytovatele podpory (tedy ministerstva nebo za tím účelem zřízené organizace) přistupovat k osobním údajům ze základních registrů. Druhým, kdo toto právo získává, je úřad pro kontrolu kybernetické bezpečnosti.

Umístění tohoto povolení potřebného pro GDPR do tohoto zákona není zrovna šťastný nápad, protože zákonné povinnosti, kvůli kterým tento přístup úřady potřebují, stanoven není. Zejména zřejmé je to v rámci povolení o zpřístupnění údajů pro účely plnění kybernetického zákona, který žádný důvod k přístupům k osobním údajům nedává. Stát tak ukazuje, jak sám sobě nasazuje nízkou laťku ohledně úrovně ochrany osobních údajů.