Dopady zákona o kyberbezpečnosti jsou nejasné, novela má přitom platit už od Nového roku
Od ledna 2015 začne v České republice platit nový zákon o kybernetické bezpečnosti, díky kterému by měl být stát odolnější vůči případným elektronickým útokům na důležité počítačové systémy. Normou, kterou vytvořil Národní bezpečnostní úřad (NBÚ), schválili poslanci i senátoři a podepsal prezident, se budou muset řídit orgány veřejné správy i některé soukromé firmy. Koho přesně se zákon dotkne, ale zatím není zcela zřejmé. Ani jaké konkrétní kroky budou muset dotčené subjekty podniknout a kolik bude zavedení nových pravidel stát. Vechna zákonná opatření by přitom měla být přijata do konce roku 2015.
S rychlým rozvojem informačních technologií a další integrací nových počítačových systémů se výrazně zvyšuje i riziko elektronického útoku. Na složitých počítačových sítích jsou dnes závislé prakticky všechny obory důležité pro bezchybný a hlavně bezpečný chod státu. Na IT systémech závisí ekonomika jako celek OE doprava, energetika a další strategická odvětví. Evropská unie proto vydala směrnici, podle níž by měly všechny členské státy zvýšit svoji schopnost odolávat případným útokům na kybernetické úrovni. NÁROČNÉ A NARYCHLO Svou sílu demonstrovali hackeři a jejich programy určené proti celé řadě cílů po celém světě. Podobných útoků přitom každoročně přibývá a škody se pohybují v řádech stovek milionů dolarů. Není výjimkou, že profesionálně navržený program OE počítačový vir OE dokáže vyřadit z provozu nejen počítačové sítě. Česko zažilo jeden z největších elektronických útoků na jaře 2013, kdy hackeři pomocí takzvaného přehlcení počítačových systémů vyřadili několik tuzemských zpravodajských serverů a internetových systémů českých poboček bank a mobilních operátorů. Další a ještě sofistikovanější bezesporu přijdou.
Osobně se bojím toho, že zákon by měl nabýt účinnosti již 1. 1. 2015, přičemž dotčené subjekty budou mít pouze rok na to, uvést svůj systém bezpečnosti informací plně v soulad se zákonem. Například organizační složky státu, které již mají řešenou vlastní kybernetickou bezpečnost na úrovni mezinárodních standardů ISO/IEC 20000 a ISO/IEC 27001, jsou ve velké výhodě.
Vzhledem k tomu, že navrhovaná právní úprava z těchto standardů vychází, neměla by být adaptace na zákonné povinnosti v takových případech otázkou prakticky žádných dodatečných investic. U nich se má za to, že splnily standardy bezpečnostních opatření podle zákona o kybernetické bezpečnosti, pokud se prokážou těmito certi káty. Osobně jsem přesvědčen, že platný certifikát podle ISO 27000 je zcela dostatečný.
Ostatní subjekty (a je jich bohužel drtivá většina) tak budou mít pouze rok na to, aby systém bezpečnosti informací zavedly, což je časově, technicky i finančně poměrně náročné. Musejí si definovat aktiva společnosti, provést analýzu bezpečnostních rizik, vytvořit následně systém řízení bezpečnosti informací a prověřit funkčnost systému (nejlépe nezávislým certifikačním orgánem).
ROK NA UPřESNeNÍ Dalším problémem návrhu zákona je neurčitost dopadu. Zákon uvádí hned pět skupin takzvaných povinných osob. Dvě by měly zahrnovat soukromé subjekty, které podléhají kontrole ze strany Národního centra kybernetické bezpečnosti (CERT), ale v zákoně nemají přímo stanovenou povinnost zavádět bezpečnostní opatření. Povinnost je zavést mají jen tři z nich (například takzvaný Správce významného informačního systému) a tyto také podléhají kontrole ze strany NBÚ. Definici těchto subjektů budou naplnovat především orgány veřejné moci, ale i soukromoprávní subjekty.
Ale na koho konkrétně bude zákon dopadat a na koho nikoli, není vůbec jasné. Z dostupných informací vyplývá, že ani zákonodárci a navrhovatelé tohoto zákona v tomto zatím nejsou zajedno. Dle stanoviska NBÚ budou podrobnosti pro konkretizaci subjektů, kterých se zavedení bezpečnostních opatření týká, určeny v průběhu roku 2015 prováděcími právními předpisy.
V každém případě však zákon o kybernetické bezpečnosti potřebujeme a jsem proto rád, že ho schválili poslanci a senátoři a po podpisu prezidenta nabude účinnosti k 1. 1. 2015. Nezbývá než doufat, že prováděcí předpis k zákonu vyjde včas a dá všechny odpovědi na dosud nezodpovězené otázky.
S rychlým rozvojem informačních technologií a další integrací nových počítačových systémů se výrazně zvyšuje i riziko elektronického útoku.
O autorovi| JAKUB KEJVAL* generální ředitel české pobočky certifikační společnosti Bureau Veritas
