Aktuality / Návrh zákona o kybernetické bezpečnosti

Návrh zákona o kybernetické bezpečnosti

Dne 18. června 2014 schválila Poslanecká sněmovna ve třetím čtení návrh zákona o kybernetické bezpečnosti, jehož předkladatelem je Národní bezpečnostní úřad. Pokud bude zákon následně schválen Senátem a podepsán presidentem, bude účinný od 1. ledna 2015. Zákon by měl přispět k ochraně kritické infrastruktury a informačních systémů, které jsou klíčové pro fungování státu.

Návrh zákona o kybernetické bezpečnosti

Dne 18. června 2014 schválila Poslanecká sněmovna ve třetím čtení návrh zákona o kybernetické bezpečnosti, jehož předkladatelem je Národní bezpečnostní úřad. Pokud bude zákon následně schválen Senátem a podepsán presidentem, bude účinný od 1. ledna 2015. Zákon by měl přispět k ochraně kritické infrastruktury a informačních systémů, které jsou klíčové pro fungování státu.

 

Orgány a osobami, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti, jsou především správce informačního systému[2] kritické informační infrastruktury[3], správce komunikačního systému[4] kritické informační infrastruktury a správce významného informačního systému[5], kteří jsou mimo jiné povinni v rozsahu nezbytném pro zajištění kybernetické bezpečnosti zavést a provádět bezpečnostní opatření pro informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém. Technickými opatřeními jsou podle návrhu zákona (ust. § 5 odst. 3):

a) fyzická bezpečnost,

b) nástroj pro ochranu integrity komunikačních sítí,

c) nástroj pro ověřování identity uživatelů,

d) nástroj pro řízení přístupových oprávnění,

e) nástroj pro ochranu před škodlivým kódem,

f) nástroj pro zaznamenávání činnosti kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů,

g) nástroj pro detekci kybernetických bezpečnostních událostí,

h) nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí,

i) aplikační bezpečnost,

j) kryptografické prostředky,

k) nástroj pro zajišťování úrovně dostupnosti informací a

l) bezpečnost průmyslových a řídících systémů.

Konkrétní rozsah bezpečnostních opatření, které budou správci povinni přijmout, stanoví Vyhláška Národního bezpečnostního úřadu o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti).[6]

[1] Kritické hlasy se objevují v souvislosti se zřízením a provozem národního CERT http://www.psp.cz/eknih/2013ps/stenprot/006schuz/s006247.htm a asi nepřekvapí, že proti návrhu jsou Piráti http://www.pirati.cz/kci/cons/cybs [2] orgán nebo osoba, které určují účel zpracování informací a podmínky provozování informačního systému [3] prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti tak, jak plyne z ust. § 2 zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů a Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury [4] orgán nebo osoba, které určují účel komunikačního systému a podmínky jeho provozování [5] informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou a u kterého narušení bezpečnosti [6] http://www.nbu.cz/cs/aktuality/600-nbu-vypracoval-navrh-vyhlasky-o-kyberneticke-bezpecnosti/