Bude se vztahovat kybernetický zákon i na obce?
Národní bezpečností úřad prosazuje názor, že informační systémy, jejichž správcem je obec, nebudou zahrnuty do kritické infrastruktury v oblasti kybernetické bezpečnosti, ani mezi významné informační systémy.
Standardizace podle prováděcích předpisů k zákonu o kybernetické bezpečnosti by se tedy na obce povinně vztahovat neměla, jak to ale dopadne, se bohužel asi dozvíme až při konečném schválení zákona.
Jak to vypadá s povinnostmi obcí v této oblasti?
Protože se v poslední době množí dotazy obcí, zda se na ně nové povinnosti v oblasti kybernetické bezpečnosti budou nebo nebudou vztahovat, vydal NBÚ prohlášení, ve kterém tuto otázku zodpovídá.
Zákon o kybernetické bezpečnosti stanoví pět skupin regulovaných subjektů, přičemž k orgánům veřejné moci se vztahují pouze dvě z této skupiny regulovaných subjektů. Jednou z nich je správce tzv. významného informačního systému, další je správce systému zařazeného do kritické informační infrastruktury.
Zákon o kybernetické bezpečnosti oba tyto správce definuje a podrobnosti pro jejich určení budou stanovovat prováděcí předpisy, které v současné době vznikají ve spolupráci Národního bezpečnostního úřadu a Ministerstva vnitra.
Národní bezpečností úřad prosazuje názor, že informační systémy, jejichž správcem je obec, nebudou zahrnuty ani do kritické informační infrastruktury – tedy kritické infrastruktury v oblasti kybernetické bezpečnosti, ani mezi významné informační systémy. Jistého ale zatím není nic.
Jaké prováděcí předpisy jsou připravovány?
1) Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
Návrh této vyhlášky připravuje Národní bezpečnostní úřad. Vyhláška o kybernetické bezpečnosti byla v prvním čtvrtletí tohoto roku konzultována s odbornou veřejností a nyní finalizují práce na jejím konečném znění, přičemž její rozeslání do meziresortního připomínkového řízení se předpokládá v červenci 2014.
2) Vyhláška, kterou se stanoví významné informační systémy a jejich určující kritéria
Návrh této vyhlášky připravuje Národní bezpečnostní úřad ve spolupráci s Ministerstvem vnitra a její rozeslání do meziresortního připomínkového řízení se předpokládá v září 2014.
3) Novela nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury
Národní bezpečnostní úřad se podílel na tvorbě části předmětné novely, konkrétně na stanovení odvětvových kritérií pro určení prvku kritické infrastruktury v oblasti kybernetické bezpečnosti. Návrh této novely je však v gesci Ministerstva vnitra a termín jejího rozeslání do meziresortního připomínkového řízení doposud nebyl pevně stanoven.
Subjekty kritické informační infrastruktury a správci významných informačních systémů budou v průběhu roku 2015 určovány. ZKB pak stanoví pro tyto určené subjekty roční přechodné ustanovení, které začne plynout ode dne okamžiku určení, resp. naplnění určujících kritérií, ve kterém se budou připravovat na plnění stěžejních povinností podle ZKB.
Určitě je ale nezbytně důležité upozornit na to, že požadavek na zajištění bezpečnosti informací v informačních systémech veřejné správy stanoví zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů.
Zdroj:
Odpovědět na příspěvek