15. Kybernetická bezpečnost

1. Zákon o kybernetické bezpečnosti

Zákon o kybernetické bezpečnosti upravuje:

• práva a povinnosti osob, organizačních složek státu a dalších orgánů veřejné moci v oblasti zajišťování kybernetické bezpečnosti,
• působnost a pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti.

Zákon reflektuje příslušné předpisy EU.

Působnost tohoto zákona se nevztahuje na informační a komunikační systémy, v nichž uživatelé pracují s utajovanými informacemi.

2. Hlavní cíle zákona

• definovat orgány a osoby, kterým tento zákon ukládá povinnosti v oblasti kybernetické bezpečnosti,
• uložit povinnost samoidentifikace, registrace a hlášení kontaktních údajů,
• povinným osobám uložit povinnost zavádět bezpečnostní opatření pro zajištění kybernetické bezpečnosti, tedy souhrn úkonů, jejichž cílem je zajištění bezpečnosti informací, dostupnosti a spolehlivosti služeb v kybernetickém prostoru,
• zavést povinnost detekovat kybernetické bezpečnostní incidenty a hlásit je vládnímu nebo národní skupině pro reakci na počítačové hrozby (Computer Emergency Response Team, dále jen „CERT“),
• zavést povinnost řídit se protiopatřeními vydanými Národním úřadem pro kybernetickou a informační bezpečnost (dále také jako „NÚKIB“) – umožnit rychlou reakci na hrozby či hrozící incidenty,
• upravit činnost dohledových pracovišť – Národního úřadu

3. Institucionální zakotvení zákona o kybernetické bezpečnosti

Národní úřad pro kybernetickou a informační bezpečnost

Národní úřad pro kybernetickou a informační bezpečnost je ústředním správním orgánem pro kybernetickou bezpečnost včetně ochrany utajovaných informací v oblasti informačních a komunikačních systémů a kryptografické ochrany. Dále má na starosti problematiku neveřejné služby v rámci družicového systému Galileo.

Vznikl 1. srpna 2017 na základě zákona č. 205/2017 Sb., kterým se změnil zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů. Národní úřad pro kybernetickou a informační bezpečnost vykonává kontrolu v oblasti kybernetické bezpečnosti, přičemž zjišťuje, jak povinné osoby plní mimo jiné povinnosti stanovené 
zákonem.

Národní úřad pro kybernetickou a informační bezpečnost je oprávněn vydat protiopatření, tedy úkony nezbytné k ochraně před hrozbou či zranitelností v oblasti kybernetické bezpečnosti, před kybernetickým bezpečnostním incidentem, příp. k řešení již nastalého kybernetického incidentu. Těmito opatřeními jsou výstraha, varování či reaktivní protiopatření.

Vládní CERT

Vládní CERT je nedílnou součástí Národního úřadu pro kybernetickou a informační bezpečnost a spolu s týmy typu CSIRT hraje klíčovou roli při ochraně regulovaných služeb podle zákona o kybernetické bezpečnosti a jeho prováděcích předpisů. Každá země, která má své kritické systémy připojeny do internetu, musí být schopna efektivně a účinně čelit bezpečnostním výzvám, reagovat na incidenty, koordinovat činnosti při jejich řešení a účelně působit při předcházení incidentům.

4. Základní pojmy definované zákonem o kybernetické bezpečnosti

Kybernetický prostor

Kybernetickým prostorem je soubor sítí elektronických komunikací a dalších technologií, ve kterém dochází ke zpracování informací a dat v elektronické podobě. Pod pojmem kybernetický prostor si lze představit například celosvětovou síť Internet, stolní počítače, notebooky, chytrá mobilní zařízení a další produkty ‑ jako jsou třeba chytré hodinky.

Bezpečnost informací

V rámci bezpečnosti informací se řeší ochrana informací, tedy zajištění jejich důvěrnosti, dostupnosti a integrity (tzv. triáda informační bezpečnosti).

• Důvěrnost je vlastnost charakterizující, že informace není dostupná nebo není odhalena neautorizovaným jednotlivcům, entitám nebo procesům.
• Dostupnost je vlastnost přístupnosti a použitelnosti na žádost autorizované entity.
• Integrita je vlastnost ochrany přesnosti a úplnosti dat a jistota, že data nebyla změněna.

Bezpečnost informací je takový stav, kdy jsou zajištěny tyto základní charakteristiky současně a v souladu s požadavky na míru jejich zajištění.

Je zřejmé, že i v oblasti zajišťování kybernetické bezpečnosti zahrnuje bezpečnost informací nejen bezpečnost IS/ICT, ale také s tím úzce související oblasti, jako je fyzická bezpečnost, ochrana osobních údajů, řízení lidských zdrojů, řízení vztahů s dodavateli atd.

Regulovaná služba a poskytovatel regulované služby

Regulovanou službou je služba, která je významná pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice, v některém z těchto odvětví:

• veřejná správa,
• energetika,
• výrobní průmysl,
• potravinářský průmysl,
• chemický průmysl,
• vodní hospodářství,
• odpadové hospodářství,
• doprava,
• digitální infrastruktura a služby,
• finanční trh,
• zdravotnictví,
• věda, výzkum a vzdělávání,
• poštovní a kurýrní služby,
• obranný průmysl,
• vesmírný průmysl,

o které tak rozhodl (po samoidentifikaci) NÚKIB a která splňuje podmínky pro registraci regulované služby, zejména pak podmínky významnosti stanovené vyhláškou o regulovaných službách.

V praxi to znamená, že organizace sama posoudí, zda splňuje kritéria daná vyhláškou o regulovaných službách (kritéria významnosti) a provede ohlášení regulované služby. 

Případně dojde k zahájení řízení o registraci regulované služby z moci úřední – ze strany NÚKIB – jestliže dojde k naplnění dalších podmínek pro registraci regulované služby. V takovém případě jsou podmínky dopadového charakteru, např. jedná se o službu, jejíž narušení může způsobit závažný zásah do života více než 125 000 osob. V obou případech následně NÚKIB potvrdí registraci regulované služby svým rozhodnutím.

Poskytovatelem regulované služby je pak osoba poskytující regulovanou službu.

Režim vyšších povinností a režim nižších povinností

V režimu vyšších povinností je poskytovatel regulované služby, který z důvodu své velikosti, počtu uživatelů, geografického rozšíření služby, dopadu na fungování odvětví nebo jiného poskytovatele regulované služby nebo rizikovosti provozu, je značně ekonomicky, společensky nebo bezpečnostně významný pro Českou republiku. V režimu nižších povinností je poskytovatel regulované služby, který není v režimu vyšších povinností podle věty první.

Prakticky je toto rozdělení v majoritě případů dáno kritériem velikosti daného podniku, které jako metriku stanovila právě směrnice NIS2.

Režim nižších povinností má pak některé povinnosti redukovány či zjednodušeny na základní úroveň.

Kybernetický bezpečnostní incident

Kybernetickým bezpečnostním incidentem narušení bezpečnosti informací v kybernetickém prostoru v důsledku kybernetické bezpečnostní události. Např. neoprávněný přístup do systému pomocí privilegovaných (administrátorských) uživatelských účtů umožňující závažný zásah do systému a plnou kontrolu nad ním.

Kybernetická bezpečnostní událost

Kybernetickou bezpečnostní událostí je událost, která může vyústit v kybernetický bezpečnostní incident. Např. byl detekován nepovedený pokus o průnik do systému, přičemž v praxi se jednalo např. o nevalidní pokus o přihlášení uživatele do systému z důvodu zapomenutého hesla.

Hlášení kybernetického bezpečnostního incidentu

Povinné osoby v rámci zákona o kybernetické bezpečnosti jsou povinny hlásit vybrané kybernetické bezpečnostní incidenty, které se projevily v rámci stanoveného rozsahu jejich regulovaných služeb, a to nejdéle do 24 hodin od zjištění tohoto incidentu.

Stav kybernetického nebezpečí

Stav kybernetického nebezpečí lze vyhlásit v případě, kdy je značně ohrožena nebo narušena bezpečnost informací v kybernetickém prostoru, což může mít za následek negativní dopady na poskytování regulovaných služeb nebo může dojít k ohrožení bezpečnosti České republiky, vnitřního pořádku, života a zdraví, majetkových hodnot nebo životního prostředí.

Stav kybernetického nebezpečí vyhlašuje Národní úřad pro kybernetickou a informační bezpečnost na své úřední desce a lze jej vyhlásit maximálně na 30 dní a prodloužit na celkovou délku 60 dní. Pokud ani pak nedojde k opadnutí důvodů pro vyhlášení stavu kybernetického nebezpečí, požádá NÚKIB vládu o vyhlášení nouzového stavu.