Kybernetický úřad
hledat
top

Kybernetický zákon: jak se měnila jeho podoba?

Stahnout článek ve formátu PDFF

V úterý 18. 6. zákon o kybernetické bezpečnosti prošel Sněmovnou. Účinnosti má nabýt k 1. 1. 2015. Jak jej poslanci změnili?

Zákon o kybernetické bezpečnosti se vlastně připravuje již od října roku 2011, kdy kybernetická bezpečnost přešla z Vnitra na Národní bezpečnostní úřad (NBÚ).

Poměrně dlouho diskutoval NBÚ s odborníky, jaká koncepce kybernetické bezpečnosti by měla být zvolena. Nakonec zvítězila ta se „dvěma pilíři“ v podobě vládního a národního CERTu.

Další zdržení pro tento zákon znamenal pád vlády Petra Nečase, který téměř na půl roku zastavil jakékoli jednání a čekalo se, zda se nová vláda s návrhem ztotožní a bude jej projednávat, případně zda jej smete ze stolu. Již prvním čtením v polovině února 2014 ale zákon prošel.

Výhrady a změny

Některým poslancům se nelíbila především navrhovaná exkluzivita postavení CERTu. Argumentovali zkušenostmi z předražených IT zakázek a nedostatečným řešením ekonomických aspektů.

V případě, že argumenty nebudou věrohodné, zvážím předložení pozměňovacího návrhu, který v podstatě z návrhu zákona odstraní část týkající se národního CERT, tak aby součinnost mezi NBÚ a soukromými provozovateli CERT probíhala i nadále v režimu neformální spolupráce, která ve svém důsledku nepovede k outsourcingu bezpečnostních funkcí státu“, řekl poslanec Matěj Fichtner.

Nakonec pozměňovací návrh skutečně podal.

Jiří Peterka ve svém článku podrobně vysvětluje, jakým způsobem budou mít mezi sebou rozdělenu působnost vládní a národní CERT.

Zmíněný pozměňovací návrh Fichtnera měl posunout hranici mezi oběma CERTy k tomu vládnímu. Výsledkem by pak bylo, že národní CERT bude pouze jakýmsi poradním expertním orgánem, vůči kterému nikdo nebude mít oznamovací povinnost a který by pouze poskytoval metodickou pomoc a součinnost některým subjektům a prováděl vlastní výzkumy. Navíc by podle návrhu měl dělat vše bezúplatně, neměl by být zahraniční osobou a určitě by neměl být založen pouze za účelem zisku.

Jak to zatím dopadlo?

V úterý 18. 6. 2014 navrhovaný zákon sněmovnou prošel. O pozměňovacím návrhu poslance Fichtnera se nakonec ani nehlasovalo, protože se stal nehlasovatelným poté, co byl přijat jiný pozměňovací návrh.

Ten převzal z návrhu Fichtnera pouze některé připomínky, tedy: národní CERT nesmí být zahraniční osobou, nesmí být založen pouze za účelem zisku, musí postupovat nestranně a úkony vyplývající ze zákona má poskytovat bezplatně (nejde o metodickou pomoc ani o součinnost při vyskytnutí kybernetické hrozby, ty budou zpoplatněny).

Smí vykonávat i vlastní hospodářskou činnost související s kybernetickou bezpečnostní, ale pouze na „vlastní triko“ a nesmí to ovlivňovat plnění povinností ze zákona.

Vlastně se tak pouze zpřesnilo fungování tohoto subjektu. Žádné výrazné změny zákona to určitě neznamená.

Výběr dodavatelů

Další návrhy na změnu zákona se týkaly dodavatelů a rovněž byly velmi diskutovaným tématem, především výběr dodavatelů elektronických komunikací pro subjekty spadající pod písmena c) a e) zákona. Požadavkem bylo zpřísnit výběr s ohledem na bezpečnost.

Návrh, který požadoval výběr pouze z určitého okruhu dodavatelů, schválen nebyl. Místo toho byl přijat jiný návrh, který stanovuje pouze povinnost při výběru dodavatele zohledňovat požadavky vyplývající z bezpečnostních opatření.

Jak je to s vyhláškami?

Samotný zákon není jediný, který musí rychle projít, aby mohl nabýt účinnosti k 1. 1. 2015. Musí být včas připraveny také nezbytné prováděcí předpisy. Jejich úkolem je upřesnit „provozní“ záležitosti, týkající se zejména bezpečnostní dokumentace, bezpečnostních opatření, kybernetických incidentů a jejich hlášení, reaktivních opatření a protiopatření atd.

Stav je podle NBÚ následující:

1. Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)

  • Návrh této vyhlášky připravuje NBÚ. Vyhláška o kybernetické bezpečnosti byla v prvním čtvrtletí tohoto roku konzultována s odbornou veřejností – k vyhlášce přišlo cca 300 připomínek od odborné veřejnosti, jejich vypořádání se uskutečnilo 11. 4. 2014 v budově NBÚ. Nyní finalizují práce na jejím konečném znění, přičemž její rozeslání do meziresortního připomínkového řízení se předpokládá v červenci 2014.

 

2. Vyhláška, kterou se stanoví významné informační systémy a jejich určující kritéria

  • Návrh této vyhlášky připravuje NBÚ ve spolupráci s Ministerstvem vnitra a její rozeslání do meziresortního připomínkového řízení se předpokládá v září 2014.

 

3. Novela nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury

  • NBÚ se podílel na tvorbě části předmětné novely, konkrétně na stanovení odvětvových kritérií pro určení prvku kritické infrastruktury v oblasti kybernetické bezpečnosti. Návrh této novely je však v gesci Ministerstva vnitra a termín jejího rozeslání do meziresortního připomínkového řízení doposud nebyl pevně stanoven.

 

Zdroj:

 

Odpovědět na příspěvek

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


− 1 = čtyři

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

top