Obsah:
- Zákony ČR
- Vyhlášky ČR
- Nařízení vlády ČR
- Směrnice a nařízení EU
Zákony ČR
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti
Zákon, který tvoří hlavní legislativní rámec týkající se kybernetické bezpečnosti v České republice. Stanovuje práva a povinnosti osob a pravomoci orgánů veřejné moci (Národní bezpečnostní úřad - NBÚ, Národní úřad pro kybernetickou a informační bezpečnost - NÚKIB) na úseku kybernetické bezpečnosti, zapracovává související předpisy EU a upravuje zajištění elektronických komunikací, sítí a informačních systémů. Nutno dodat, že tento zákon se nevztahuje na informační a komunikační systémy nakládající s utajovanými informacemi dle zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti.
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti obsahuje:
- vymezení základních pojmů;
- bezpečnostní opatření pro zajištění kyberbezpečnosti;
- rozdíly mezi bezpečnostní událostí a incidentem;
- hlášení bezpečnostních incidentů;
- evidenci bezpečnostních incidentů;
- reaktivní a ochranné opatření;
- stav kybernetického nebezpečí;
- výkon státní správy;
- kontroly, nápravná opatření a přestupky;
- vymezení kontroly činnosti Úřadu a další.
Další související zákony
Mezi další české zákony, které souvisí s kybernetickou a informační bezpečností, patří:
- Zákon č. 240/2000 Sb., o krizovém řízení a změně některých zákonů;
- Zákon č. 365/2000 Sb., o informačních systémech veřejné správy;
- Zákon č. 480/2004 Sb., o některých službách informační společnosti;
- Zákon č. 127/2005 Sb., o elektronických komunikacích;
- Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti.
Vyhlášky ČR
Vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) zapracovává příslušný předpis EU. Pro vyjmenované informační systémy upravuje:
- obsah a strukturu povinné dokumentace kyberbezpečnosti;
- obsah a rozsah bezpečnostních opatření;
- kategorizaci a závažnost kybernetických incidentů;
- způsob ohlášení kybernetického incidentu a reakce vč. jeho výsledku;
- formu komunikace s úřady;
- způsob likvidace dat, údajů a informací a další.
Vyhláška č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci
Vyhláška stanovuje orgánům veřejné moci (ministerstvům, úřadům, soudům, policii apod.) úrovně bezpečnosti při používání cloud computingu - poskytování počítačových služeb včetně serverů, vzdálených úložišť, databází, sítí, softwaru, analytiky apod. Tato vyhláška řeší zejména:
- vymezení některých důležitých pojmů;
- co je bezpečnostní úroveň při používání cloud computingu;
- jak zařadit cloud computing do bezpečnostní úrovně;
- seznam úrovní a oblastí dopadů;
- skupiny kritérií pro oblast dopadu skupiny B. Ochrana osobních údajů.
Vyhláška č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu
Vyhláška Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) se týká některých požadavků pro zápis do katalogu cloud computingu. Tento katalog obsahuje všechny nabídky a poptávky cloud computingu pro orgány veřejné správy, které mají povinnost využívat poskytovatele cloudových služeb pouze z tohoto katalogu. Poskytovatelé zapsaní v katalogu musí splňovat pravidla pro zajištění dostupného řešení a bezpečnost shromažďovaných dat a informací. Vyhláška stanovuje:
- požadavky na způsobilost poskytovatele cloud computingu zajistit ochranu důvěrnosti, integrity a dostupnosti informací veřejné správy;
- seznam dostupných certifikací a auditů pro ochranu důvěrnosti, integrity a dostupnosti informací;
- požadavky a náležitosti pro sestavení zprávy o realizaci penetračního testu (metoda hodnocení zabezpečení počítačových zařízení, systémů nebo aplikací);
- požadavky a náležitosti auditní zprávy určené pro ověření existence plánu zajištění kontinuity provozu a plánu pro obnovu cloud computingu po havárii;
- požadavky na strukturu dokladu o zhodnocení zdrojů rizik;
- požadavky na strukturu dokumentů pro ověření splnění požadavků na zajištění důvěrnosti, integrity a dostupnosti informací.
Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích
Vyhláška NÚKIB a Ministerstva vnitra ČR stanoví významné informační systémy a jejich určující kritéria. Uvádí:
- co jsou významné informační systémy;
- jaká jsou kritéria pro určení významných informačních systémů.
Vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby
Vyhláška NÚKIB se zabývá kritérii pro určení provozovatele tzv. základní služby, která představuje službu, jejíž poskytování je závislé na elektronické komunikaci nebo informačních systémech a jejíž narušení, např. kybernetickým útokem, by mohlo mít vážný dopad na bezpečnost činností spojených s energetikou, zdravotnictvím, dopravou, vodním hospodářstvím, bankovnictvím, finančními trhy, digitální infrastrukturou a chemickým průmyslem. Tato vyhláška:
- zapracovává příslušný předpis Evropské unie;
- upravuje odvětvová a dopadová kritéria pro určení provozovatele základní služby;
- vymezuje význam dopadů narušení základních služeb apod.
Další související vyhlášky
Mezi další české vyhlášky související s kybernetickou a informační bezpečností, utajovanými informacemi, zabezpečení kryptografické ochrany apod., patří:
- Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor;
- Vyhláška č. 525/2005 Sb., o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací;
- Vyhláška č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků.
Nařízení vlády ČR
Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury
Nařízení vlády České republiky o kritériích pro určení prvku kritické infrastruktury (KI), která představuje např. veřejnou správu (úřady, policie, veřejné instituce), komunikační a informační systémy (mobilní síť, poštovní služby, televize apod.), nouzové služby (ZZS, hasiči, policie), energetickou infrastrukturu aj. Nařízení ve znění Nařízení vlády č. 315/2014 Sb. stanovuje:
- průřezová a odvětvová kritéria pro určení prvku KI.
Směrnice a nařízení EU
Směrnice Evropského parlamentu a Rady (EU) 2016/1148
Směrnice o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Evropské unii. Směrnice obsahuje:
- obecná ustanovení týkající se:
- předmětu a oblasti působnosti,
- zpracování osobních údajů,
- minimální harmonizace,
- definicí a termínů,
- určování provozovatelů základních služeb,
- významného narušení kyberbezpečnosti;
- národní rámec pro bezpečnost sítí a informačních systémů týkající se:
- národní strategie kybernetické bezpečnosti,
- vnitrostátních orgánů a kontaktního místa,
- bezpečnostních týmů CSIRT (Computer Security Incident Response Team),
- spolupráce na vnitrostátní úrovni;
- vymezení skupiny pro mezinárodní spolupráci na kyberbezpečnosti;
- bezpečnostní požadavky a hlášení kybernetických incidentů;
- standardizace a dobrovolné hlášení incidentů;
- úkoly a požadavky na bezpečnostní týmy CSIRT.
Obsah této směrnice byl do českého právního řádu transponován primárně v podobě novelizace zákona o kybernetické bezpečnosti a související vyhlášky o kybernetické bezpečnosti.
Prováděcí nařízení komise (EU) 2018/151
Prováděcí nařízení komise stanovuje pravidla pro uplatňování směrnice Evropského parlamentu a Rady (EU) 2016/1148, pokud jde o bližší upřesnění prvků, které musí poskytovatelé digitálních služeb zohledňovat při řízení bezpečnostních rizik, jimiž jsou vystaveny sítě a informační systémy, a parametrů pro posuzování toho, zda je dopad incidentu významný. Prováděcí nařízení shrnuje:
- bezpečnostní prvky;
- parametry pro zohlednění při posuzování významu dopadu incidentu;
- co je významný dopad incidentu.