Sleduji dění kolem zákona o kybernetické bezpečnosti. Stále mi ale není jasné, jaké novinky pro mě jako podnikatele přinese. Tomáš M., Praha
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti, je účinný od 1. 1. 2015. Zákon by měl teoreticky posílit kybernetickou bezpečnost naší země a sloužit jako ochrana před útoky na její klíčové informační systémy a sítě. Vztahuje se proto především na systémy veřejné správy, dotkne se ale i některých soukromých právnických osob, především těch, které spravují nejdůležitější informační a komunikační systémy.
Tyto budou mít povinnost například hlásit bezpečnostní incidenty a provádět reaktivní protiopatření. Hlavním garantem kybernetické bezpečnosti bude Národní bezpečnostní úřad (NBÚ), zákon však počítá i se vznikem takzvaného národního CERT (Computer Emergency Response Team), jehož provozovatelem bude právnická osoba, která bude provádět dohled v soukromé sféře a přijímat podněty zejména od poskytovatelů služeb elektronických komunikací a subjektů zajišťujících sítě elektronických komunikací. Vedle něj zákon ustanovuje takzvaný vládní CERT, který vedle dohledu a poradenství v rámci státní správy dohlíží i na správce informačního nebo komunikačního systému kritické informační infrastruktury. Tento je zároveň pracovištěm NBÚ.
| Ptejte se odborníků zadarmo: |
|---|
| Své dotazy ohledně podnikání nám můžete psát na email: svihel@mf.cz |
Kterých soukromých osob se zákon nejvíce dotkne? Povinnými osobami budou poskytovatelé služeb elektronických komunikací a subjekty zajišťující sítě elektronických komunikací, například tedy poskytovatelé internetového připojení. Pokud podnikatelé spravují určitý důležitý informační nebo komunikační systém, takzvanou významnou síť (zajišťující přímé zahraniční propojení do veřejných komunikačních sítí nebo přímé připojení ke kritické informační infrastruktuře), zákon se jich dotkne ještě výrazněji. Kromě hlášení kontaktních údajů budou muset zároveň detekovat kybernetické bezpečnostní události, hlásit bezpečnostní incidenty a provádět bezpečnostní opatření umožněná NBÚ. Ta budou právně závazná okamžikem vydání, přičemž odvolání proti nim nemá žádný odkladný účinek. Kdo přesně bude zákonu z této skupiny podléhat, se bude odvíjet od nařízení vlády schváleného dne 8. 12. 2014, kterým se mění nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury. Nařízení určuje však pouze kritéria pro to, kdo se bude muset kybernetickým zákonem řídit. Konkrétní rozhodnutí pak bude záležet na opatření obecné povahy vydaném příslušným ministerstvem či NBÚ.
Jaké jsou výhody a nevýhody? Nejvyšším přínosem normy je určitě zavedení informačních povinností, které umožní soustředění podstatných informací odůvodňujících přijetí případných opatření na jednom místě. Co se týče řešení konkrétních útoků, zákon zůstává velmi obecný (a nelze ani očekávat, že by mohl nabízet řešení pro každou situaci) a až praxe ukáže, zda výsledkem legislativy nebude pouze další administrativní zátěž pro poskytovatele telekomunikačních služeb bez reálného zlepšení bezpečnosti kybernetického prostoru.
Autor je advokát a partner Taylor Wessing e/n/w/c advokáti
Přečtěte si i další odpovědi na dotazy čtenářů:
Složitá administrativa práce z domova
