Stručné shrnutí zákona o kybernetické bezpečnosti
Zákon 181/2014 Sb. o kybernetické bezpečnosti a o změně souvisejících zákonů, tzv. zákon o kybernetické bezpečnosti upravuje práva a povinnosti osob a působnost a pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti, s cílem zajistit bezpečnost informací, služeb a sítí v kybernetickém prostoru.
Zákon uvádí v § 4 a 5 bezpečnostní opatření organizační a technické povahy, která jsou odpovědné osoby povinny v rozsahu nezbytném pro zajištění kybernetické bezpečnosti zavést, a to pro tzv. informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém.
Zákon definuje v § 7 pojem kybernetická bezpečnostní událost a kybernetický bezpečnostní incident a v § 8 ukládá odpovědným osobám povinnost hlásit incidenty ve významném informačním systému provozovateli národního CERT a v kritické informační infrastruktuře pak Národnímu bezpečnostnímu úřadu (dále jen Úřad), který je eviduje a může dle § 12 vydat varování, dozví-li se o hrozbě v oblasti kybernetické bezpečnosti.
Úřad dle § 13 může vydat rozhodnutí, ve kterém uloží provést reaktivní opatření k řešení kybernetického bezpečnostního incidentu anebo k zabezpečení informačních systémů nebo sítí a služeb elektronických komunikací před kybernetickým bezpečnostním incidentem. Případně Úřad může vydat dle § 14 opatření obecné povahy a to na základě analýzy již vyřešeného kybernetického bezpečnostního incidentu za účelem zvýšení ochrany informačních systémů nebo služeb a sítí elektronických komunikací.
V § 17 je uvedena role provozovatele národního CERT, který působí jako kontaktní místo, přijímá hlášení o kybernetických bezpečnostních incidentech, vyhodnocuje je a poskytuje metodickou podporu, pomoc a součinnost při výskytu kybernetického bezpečnostního incidentu a dále předává Úřadu údaje o kybernetických bezpečnostních incidentech bez uvedení ohlašovatele kybernetického bezpečnostního incidentu.
V § 20 je uvedena role vládní CERT jako součást Úřadu, který v zásadě vykonává stejnou činnost jako národní CERT, avšak pro kritickou infrastrukturu.
V § 21 je uvedeno, co se rozumí pod pojmem kybernetické nebezpečí, kdy může tento stav, ve kterém je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech nebo bezpečnost a integrita služeb nebo sítí elektronických komunikací, ředitel Úřadu vyhlásit a na jak dlouho.
V § 22 je popsáno, že státní správu v oblasti kybernetické bezpečnosti vykonává Úřad, nestanoví-li zákon jinak, pak Úřad stanovuje bezpečnostní opatření, vydává opatření, ukládá pokuty za správní delikty, působí jako koordinační orgán ve stavu kybernetického nebezpečí, a hlavně zasílá podle krizového zákona Ministerstvu vnitra návrh prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti, jejichž provozovatelem je organizační složka státu, určuje podle krizového zákona prvky kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti.
V § 23 je uvedeno, že Úřad vykonává kontrolu v oblasti kybernetické bezpečnosti, dle § 24 ukládá nápravná opatření a dle § 25 pak může uložit pokutu až do 100.000 Kč.
V § 29, 30 a 31 je uvedeno, že odpovědné orgány a osoby oznámí kontaktní údaje podle § 16 nejpozději do 30 dnů ode dne nabytí účinnosti tohoto zákona, a začnou plnit své povinnosti nejpozději do 1 roku ode dne nabytí účinnosti tohoto zákona a zavedou bezpečnostní opatření podle § 4 odst. 2 nejpozději do 1 roku ode dne naplnění určujících kritérií významného informačního systému.
Štítky: kybernetická bezpečnost, legislativa, zákon o kybernetické bezpečnosti
K článku “Stručné shrnutí zákona o kybernetické bezpečnosti” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
