Kybernetický zákon: Kdy budou vyhlášky a jaké budou náklady?
Za dva měsíce začne platit nový zákon o kybernetické bezpečnosti. Stále ale chybí klíčové vyhlášky. Jak je jejich příprava daleko? A jaké budou náklady?
Kybernetický zákon má zajistit lepší připravenost České republiky na možné kybernetické hrozby. Stále ale není jisté, na koho se vlastně budou vztahovat a kdo se tak musí připravit na nové povinnosti ze zákona vyplývající.
Přibližnou odpověď nám na to dali v rozhovoru pro ČT24 Jiří Malý, ředitel legislativního a právního odboru Národního bezpečnostního úřadu a Jakub Kejval, generální ředitel společnosti Bureau Veritas.
V současné době nám chybí dvě vyhlášky a jedno Nařízení vlády.
V jaké fázi je legislativní proces?
Dle vyjádření obou pánů bohužel nabral legislativní proces velké zpoždění za vlády Petra Nečase. Odpovědné instituce nyní dělají, co je v jejich silách a předpokládá se, že do konce roku se vše stihne tak, aby od 1. 1. 2015 nový zákon o kybernetické bezpečnosti mohl začít platit.
Standardizační prováděcí vyhláška
Plně v gesci NBÚ. V současné době je uzavřeno meziresortní připomínkové řízení a vyhláška odeslána k projednání pracovních komisí legislativní rady Vlády.
Vyhláška o významných informačních systémech
Připravil NBÚ ve spolupráci s MVČR. Dne 30. 10. 2014 končí meziresortní připomínkové řízení a následně bude odesláno k projednání pracovních komisí legislativní rady Vlády.
Novela Nařízení vlády č. 442/2010 o určení prvků kritické infrastruktury
Připravuje MVČR, do konce tohoto týdne by mělo být odesláno k projednání pracovních komisí legislativní rady Vlády.
Jaký bude rozsah působnosti nového zákona?
Stále ještě není úplně jasné, na koho se vlastně budou povinnosti vyplývající z nového kybernetického zákona vztahovat. Zmíněný rozhovor s oběma pány nám dal pouze malé vodítko.
Navrženo je podle nich celkem 38 subjektů. Ty jsou prý již v současné době v podstatě definovány a to tzv. krizovým zákonem. Z toho by v podstatě vyplývalo, že povinnými subjekty budou Ministerstva, krajské úřady, či např. Česká národní banka.
Zákon se dotkne i části komerční sféry, ale většinou prý pouze okrajově. Přesné informace ale bohužel stále ještě k dispozici nejsou.
Jaké budou náklady a jaká je celková připravenost?
Subjekty, které zatím systém bezpečnostních informací vůbec nemají zaveden, mohou počítat zhruba s jedním rokem práce a náklady okolo 10 milionů korun.
Takto nepřipravených je ale dle informací v rozhovoru cca pouze 20%. Zbývající subjekty již v nějaké fázi systém zaveden mají a bezpečnostní informace dávno spravují.
Takové subjekty mohou počítat s prací v řádu několika měsíců a náklady na úpravu zhruba do jednoho milionu korun.
Jak je to s ročním odkladem?
Národní bezpečností úřad slíbil roční odklad, aby se subjekty mohly na nové povinnosti připravit.
Tento odklad ale platí pouze pro jednu skupinu subjektů z celkových pěti – a to pro správce významných infrastruktur. Všichni ostatní musí být připraveni už za dva měsíce a žádný odklad pro ně platit nebude.
Odpovědět na příspěvek