Nová pravidla kybernetické bezpečnosti

, 20. února 2023

Evropský parlament a Rada schválili na evropské úrovni revidovaná pravidla pro kybernetickou bezpečnost, tzv. směrnici NIS 2. Finální změny byly zveřejněny v Úředním věstníku 27. prosince 2022 a členské státy mají nyní 21 měsíců na to, aby tato pravidla převedla do svých národních řadů. A už 26. ledna 2023 český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) zahájil veřejnou konzultaci k návrhu nového českého zákona o kybernetické bezpečnosti a souvisejících provádějících vyhlášek. Jaké hlavní změny návrh zákona přináší? A jak se dotkne podnikatelů na trhu elektronických komunikací?

Dosavadní zákon o kybernetické bezpečnosti reguluje chování relativně úzké skupiny regulovaných subjektů, nejdůležitějších organizací, kdy narušení jejich fungování by mělo negativní dopad na celou společnost. Směrnice NIS 2 a tedy i návrh zákona přináší nový pohled na regulaci kybernetické bezpečnosti ve společnosti. Provázanost jednotlivých odvětví a jejich závislost na ICT nutí nastavit regulační pravidla tak, aby alespoň základní pravidla dodržovaly téměř všechny sektory.

Návrh zákona stanovuje dva režimy pravidel pro regulované subjekty – režim vyšších povinností a režim nižších povinností. Pokud jeden subjekt vykonává více regulovaných činností jak ze skupiny vyšších i nižších povinností, musí plnit povinnosti pro všechny služby jako by byly v režimu vyšších povinnosti – prostě vyšší bere.

Podnikatelé v elektronických komunikacích v pozici poskytovatelů veřejně dostupné služby elektronických komunikací nebo provozovatelů veřejné komunikační sítě automaticky spadají do režimu zákona o kybernetické bezpečnosti. Pokud mají postavení velkého nebo středního podniku, nebo pokud zajišťují službu alespoň pro 350 tisíc SIM karet nebo 100 tisíc aktivních přípojek spadají do režimu s vyššími povinnostmi. V případě, že jsou malý podnik nebo mikropodnik, musí plnit režim podniku s nižšími povinnostmi.

Po „sebeposouzení“, zda splňuji kritéria, se musí poskytovatel regulované služby nahlásit registrační údaje NÚKIB prostřednictvím nového komunikačního nástroje, tzv. portálu NÚKIB. Tím dojde k zápisu do evidence poskytovatelů regulovaných služeb, regulovaný subjekt je zpětně vyrozuměn o zápisu a začínají mu běžet důležité lhůty.

Do jednoho roku musí zavést bezpečnostní opatření, začít hlásit bezpečnostní incidenty a plnit povinnosti související s lokalizací uložených dat. Regulovaný subjekt musí také stanovit rozsah řízení kybernetické bezpečnosti ve své organizaci. Tedy musí identifikovat svá primární aktiva (informace, data a služby), určit jejich souvislost s poskytováním regulované služby a identifikovat organizační části a podpůrná aktiva (zaměstnanci, dodavatelé, objekty) důležitá pro regulovanou službu.

Bezpečnostní opatření rozděluje návrh zákona na organizační a technická. Jaká má plnit regulovaný subjekt v režimu vyšších a nižších povinností ukazuje následující tabulka.

Tabulka rozdělení organizačních opatření, zdroj NIX.CZ
Tabulka technických opatření, zdroj NIX.CZ

Kybernetický bezpečnostní incident návrh zákona definuje jako narušení bezpečnosti informací v rámci stanovených aktiv. Typicky si můžeme představit nějaký hackerský útok. Poskytovatel služby v režimu vyšších povinností má povinnost hlásit NÚKIB kybernetický bezpečnostní incident, který má původ v kybernetickém prostoru. Poskytovatel služby v režimu nižších povinností hlásí kybernetický bezpečnostní incident, který má původ v kybernetickém prostoru a má významný dopad Národnímu CERT.

V případě kybernetického bezpečnostního incidentu musí být prvotní hlášení provedeno bezodkladně, nejpozději do 24 hodin. V případě, že má incident významný dopad na poskytování regulované služby nebo bezpečnost státu, musí být následně podáno aktualizované hlášení. Závěrečná zpráva je podávána do 30 dnů od nahlášení incidentu, nebo pokud trvá, do 30 dnů po vyřešení incidentu.

Zákon dále definuje úkony k ochraně aktiv před kybernetickou hrozbou nebo zranitelnosti, které může vydávat NÚKIB. Jedná se o výstrahu, varování nebo reaktivní protiopatření. Každý z nich směřuje k jinému cíli a k jinému adresátu. Zatímco adresátem výstrahy je v podstatě širší veřejnost a NÚKIB obvykle vydává výstrahu prostřednictvím svého webu, adresátem varování nebo reaktivního opatření je už konkrétní subjekt a má splnit konkrétní povinnosti.

V případě, kdy je ve velkém rozsahu ohrožena bezpečnost informací v kybernetickém prostoru s dopadem do ohrožených zájmů České republiky, může ředitel NÚKIB vyhlásit stav kybernetického nebezpečí, což je v podstatě speciální krizový stav. Tento stav může být vyhlášen maximálně na 30 dní, pokud by musel být prodloužen, musí s prodloužením souhlasit vláda. Během tohoto stavu kybernetického nebezpečí může NÚKIB například poskytnout regulovaným subjektům prostředky v majetku státu, vyžádat si sdílení personálních kapacit, nařídit práci v pohotovostním režimu, zakázat používání technických aktiv nebo nařídit provedení skenu zranitelností nebo penetračního testu.

Zcela novým nástrojem, který obsahuje návrh zákona je mechanismus prověřování důvěryhodnosti dodavatelského řetězce. Tento mechanismus má být stručně řečeno novou pravomocí NÚKIB, aby ve spolupráci s ostatními úřady shromažďoval a vyhodnocoval informace týkající se možné hrozby pro bezpečnost České republiky, vnitřního nebo veřejného pořádku. Spadat do tohoto režimu nebudou samozřejmě všechny regulované subjekty, ale pouze ty spadající do režimu vyšších povinností splňující kritéria příslušné vyhlášky. V případě operátorů se má jednat o ty, kteří zajišťují službu alespoň pro 350 tisíc SIM karet nebo 100 tisíc aktivních přípojek spadají do režimu s vyššími povinnostmi. Pokud NÚKIB po vyhodnocení kritérií zjistí možné významné ohrožení bezpečnosti České republiky nebo vnitřního nebo veřejného pořádku, může vydat opatření obecné povahy, ve kterém stanoví podmínky využití nebo úplný zákaz plnění konkrétního dodavatele bezpečnostně významné dodávky do kritické části. I když je zřejmé, že v rámci definiční části může dojít ještě k úpravám detailů tohoto mechanismu, v současné geopolitické situaci by stát měl mít pravomoc, která mu umožní nenechat spadnout Českou republiku do nezdravé závislosti na ICT řešení od nedůvěryhodných subjektů. Protože pak může přijít situace, kdy už bude pozdě bycha honit, nebo pro nás všechny bude moc drahé přijmout nápravu.

Po vyhodnocení veřejné konzultace by měl NÚKIB zahájit klasické meziresortní řízení a následovat bude standardní legislativní proces. Nicméně s ohledem na komplikovanost právní úpravy a rozdílné zájmy jednotlivých subjektů (zvláště těch regulovaných) lze očekávat čilé projednávání v Parlamentu se spoustou pozměňovacích návrhů.

Jaromír Novák

Autor je právník a odborník na regulace v telekomunikacích. Pracuje jako Partner pro vztahy s veřejnou správou ve sdružení CZ.NIC, od roku 2022 je poradcem ministra průmyslu a obchodu pro digitalizaci, moderní technologie a telekomunikace. V letech 2013 – 2020 byl předsedou Rady Českého telekomunikačního úřadu (ČTÚ).

Štítky: .

Diskuze k článku

Diskuze ke článku je uzavřena.

Kategorie Internet, Technologie.

Štítky: .

Diskuze: Komentáře nejsou povolené u textu s názvem Nová pravidla kybernetické bezpečnosti

Navštivte také

Speedmeter Internetu pro všechny

Katalog Wifi sítí

Reklama:

Bleskovky

Rádi bychom Vás pozvali na naší ISP Roadshow zaměřenou na poskytovatele internetového připojení

, 21.9. Komentáře nejsou povolené u textu s názvem Rádi bychom Vás pozvali na naší ISP Roadshow zaměřenou na poskytovatele internetového připojení

Aprílový prehľad udalostí zo života slovenských operátorov

, 28.4. Komentáře nejsou povolené u textu s názvem Aprílový prehľad udalostí zo života slovenských operátorov

Inovativní řešení plánování optických sítí FTTH

, 22.10. Komentáře nejsou povolené u textu s názvem Inovativní řešení plánování optických sítí FTTH

Pozvánka na workshop IPv6 v praxi – posledních pár dní na registraci.

, 28.2. Komentáře nejsou povolené u textu s názvem Pozvánka na workshop IPv6 v praxi – posledních pár dní na registraci.

Sprintel jako první regionální operátor spouští novou síť v pásmu 3,7 GHz

, 6.2. Komentáře nejsou povolené u textu s názvem Sprintel jako první regionální operátor spouští novou síť v pásmu 3,7 GHz

IT dovednosti teenagerů – mají se starší bát mladé generace?

, 14.1. Komentáře nejsou povolené u textu s názvem IT dovednosti teenagerů – mají se starší bát mladé generace?

MPO spustilo veřejnou konzultaci nové mapy – intervenčních oblastí pro dotace NGA

, 19.11. Komentáře nejsou povolené u textu s názvem MPO spustilo veřejnou konzultaci nové mapy – intervenčních oblastí pro dotace NGA

UPC hlásí výrazný růst tržeb i připojených domácností

, 12.11. Komentáře nejsou povolené u textu s názvem UPC hlásí výrazný růst tržeb i připojených domácností

Konferencia „Kam kráčajú telekomunikačné siete Slovensko 2018“ už za pár dní. Nepremeškajte registráciu.

, 8.10. Komentáře nejsou povolené u textu s názvem Konferencia „Kam kráčajú telekomunikačné siete Slovensko 2018“ už za pár dní. Nepremeškajte registráciu.

Ruší vaše vysílače meteoradary? Nově máte 48 hodin na odstranění rušení bez sankce.

, 4.10. Komentáře nejsou povolené u textu s názvem Ruší vaše vysílače meteoradary? Nově máte 48 hodin na odstranění rušení bez sankce.

Více bleskovek →

Články

Počasie počas Vianoc otestovalo pripravenosť operátorov

, 28.12. Komentáře nejsou povolené u textu s názvem Počasie počas Vianoc otestovalo pripravenosť operátorov

Viete, že aj regionálni operátori majú zaujímavé vianočné ponuky?

, 11.12. Komentáře nejsou povolené u textu s názvem Viete, že aj regionálni operátori majú zaujímavé vianočné ponuky?

Mobilné služby počas dovolenky

, 10.7. Komentáře nejsou povolené u textu s názvem Mobilné služby počas dovolenky

Svetový deň telekomunikácií a informačnej spoločnosti nám pripomína, ako sa svet vďaka telekomunikáciám zmenil

, 17.5. Komentáře nejsou povolené u textu s názvem Svetový deň telekomunikácií a informačnej spoločnosti nám pripomína, ako sa svet vďaka telekomunikáciám zmenil

Zo súťaže a etického podnikania telekomunikačných operátorov budú profitovať zákazníci

, 29.3. Komentáře nejsou povolené u textu s názvem Zo súťaže a etického podnikania telekomunikačných operátorov budú profitovať zákazníci

Viete čo majú spoločné zvieratá ukrývajúce sa pred zimou, stovky kilogramov ľadu a orkán PIT?

, 1.3. Komentáře nejsou povolené u textu s názvem Viete čo majú spoločné zvieratá ukrývajúce sa pred zimou, stovky kilogramov ľadu a orkán PIT?