Kybernetický zákon platí, firmy netuší, koho se týká

21. 4. 2015 | Zdroj: BusinessInfo.cz

motiv článku - Kybernetický zákon platí, firmy netuší, koho se týká Od ledna se Česká republika stala jednou z nemnoha zemí, které mají zvláštní zákon o kybernetické bezpečnosti. Firmám, které ho nebudou dodržovat, hrozí až stotisícové pokuty.

Nový zákon o kybernetické bezpečnosti začal v České republice platit letos v lednu. Jedním z úkolů nové legislativy je sjednocení elektronické komunikace, a to nejenom ve státní správě, ale částečně i v soukromé sféře. Země se tak zařadila mezi několik málo států, které řeší elektronickou bezpečnost speciálním zákonem.

„S rychlým rozvojem IT sektoru narůstá i hrozba kybernetického útoku, která se může týkat každého člověka. A je třeba mít na paměti, že útoky hackerů jsou častější a čím dál masivnější,“ říká o kybernetických hrozbách Nick Feifer, manažer společnosti Fortinet pro střední a východní Evropu, a dodává: „Zajištění kybernetické bezpečnosti státu je zásadní otázkou současnosti a nový zákon je jedním z prostředků, jak jí docílit.“

Nový zákon č. 181/2014 Sb. je primárně zaměřen na zvýšení bezpečnosti důležité infrastruktury státu a významných informačních systémů, spravujících osobní údaje velkého množství lidí. Smyslem nových pravidel stanovených zákonem je předcházení závažným bezpečnostním hrozbám a stanovení možností jejich řešení v reálném čase.

„To by pochopitelně nebylo možné bez stanovení pravidel spolupráce mezi veřejnou správou a soukromým sektorem, přičemž nový zákon klade na firmy a státní instituce, pokud jde o kybernetickou bezpečnost, poměrně vysoké nároky. Vybrané státní i soukromé organizace mají navíc za povinnost hlásit kybernetické útoky a v souladu se zákonem na ně reagovat,“ upřesňuje Vladimír Michálek ze společnosti Servodata.

Nový zákon se týká především státní správy. Díky němu by měla být státní sféra i další klíčové počítačové systémy v zemi odolnější vůči potenciálním útokům. Nová úprava ovšem dopadá také na řadu firem. Problém je však v tom, že podniky ani měsíc po začátku platnosti nové úpravy netuší, koho přesně se týká.

Nikdo neví, komu hrozí pokuta

K zákonu sice vyšly tři očekávané vyhlášky, ovšem ani ty situace nezpřehlednily. Jde především o vyhlášku o významných informačních systémech.

„Znění této vyhlášky je však natolik vágní, že si na tuto otázku dodnes neumí s jistou odpovědět mnozí zástupci soukromých firem a totéž platí u orgánů veřejné správy,“ upozorňuje Jakub Kejval, generální ředitel společnosti Bureau Veritas.

První problém nastal už na konci ledna, do kdy měly dotčené subjekty povinnost nahlásit národnímu  CERTu (tuzemská součást mezinárodní skupiny Computer Emergency Response Team (CERT) své kontaktní údaje i zodpovědnou osobu pro oblast kybernetické bezpečnosti.

Až při vyplňování formuláře ve většině firem zjistili, že si musí již nyní interně jmenovat Manažera kybernetické bezpečnosti, neboť v části C tohoto formuláře nejde jen o kontaktní osobu, ale zároveň také o osobu oprávněnou jednat za danou organizaci ve věci kybernetické bezpečnosti.

Tuto roli tedy nemohly firmy narychlo svěřit asistentkám či sekretářkám, jak některé subjekty předpokládaly. Jde totiž o „Manažera kybernetické bezpečnosti“, kterou může být pouze osoba, odpovědná za systém řízení bezpečnosti informací, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením bezpečnosti informací po dobu nejméně tří let.

Zbylé dvě vyhlášky pak definují povinnosti, které musí dotčené orgány plnit v oblasti ochrany dat před kybernetickými útoky a stanovují i lhůty, do kdy tak mají učinit.

Firmy se v současnosti dožadují jasného výkladu, koho z nich se povinnosti vyplývající z kybernetického zákona týkají. Podle odborníků by to měly být jednoznačně firmy provozující telekomunikační a datovou infrastrukturu.

Nejasná úprava vymezující takzvanou „kritickou infrastrukturu“, jíž se kybernetický zákon týká, však vede některé odborníky k širšímu výkladu. A tak se v seznamu potenciálních firem objevují i provozovatelé zdravotnických databází a podniky z oblasti dopravy, potravinářství či bankovnictví.

„Týká se to například bank či pojišťoven s tržním podílem nad 10 procent. Platí i pro soukromé zemědělce v případě, že hospodaří na půdě s výměrou nejméně 4 tisíce hektarů pro jednotlivou plodinu atd.,“ dodává Jakub Kejval.

Česká republika nezavádí novou legislativu izolovaně. Kybernetický zákon vychází ze směrnice Evropské unie, podle které mají všechny členské země zvyšovat svoji schopnost bránit se kybernetickým útokům.

„Mnoho lidí určitě má v živé paměti masivní útoky hackerů z března roku 2013, které byly namířeny proti webovým stránkám zpravodajských serverů, telekomunikačních operátorů nebo serverů bankovních společností v České republice,“ připomíná Nick Feifer.

Dohled nad kybernetickou bezpečností je dle zákona svěřen Národnímu bezpečnostnímu úřadu (NBÚ) a Národnímu centru kybernetické bezpečnosti se sídlem v Brně. Jakmile dojde k bezpečnostnímu incidentu (případně se objeví reálná hrozba), může NBÚ vydat reaktivní nebo ochranné opatření, vedoucí k řešení incidentu nebo k zabezpečení klíčové infrastruktury. Novinkou je i možnost vyhlášení stavu kybernetického nebezpečí.

Na zavedení změn mají firmy rok

Firmy a organizace, na které se nový zákon č. 181/2014 Sb. vztahuje, musejí provádět rozsáhlá organizační i technická opatření, zahrnující především zavedení systému řízení bezpečnosti informací a rizik. Musí rovněž zavést pravidla pro přístup osob ke kritické informační infrastruktuře nebo k významným informačním systémům a také zvládat kybernetické bezpečnostní incidenty.

To obnáší celou řadu kroků velmi nepopulárních u zaměstnanců, například ověřování identity uživatelů, řízení přístupových oprávnění a podobně. Seznam opatření, které musí podniky udělat, je k dispozici na webových stránkách tuzemského CERTu.  

Za neplnění povinností nového zákona, například nehlášení bezpečnostních incidentů, nevedení bezpečnostní dokumentace a podobně, mohou firmy dostat pokutu až 100 000 korun. Firmy splňující požadavky na systém řízení bezpečnosti informací dle norem řady ISO/IEC 27000 by ovšem podle odborníků neměly mít s plněním povinností nového zákona potíže. Subjekty, kterých se nový zákon týká, musejí zavést bezpečnostní opatření vyplývající z nových vyhlášek nejpozději k 1. lednu 2016.

Za první pololetí loňského roku bylo v Česku spácháno 2276 případů kybernetické kriminality, což znamenalo nárůst o téměř polovinu.

Dalibor Dostál

Tisknout Vaše hodnocení:

Související články

Diskuse k článku

+ Nový příspěvek