Legislativa kybernetické bezpečnosti - zákony, vyhlášky a nařízení vlády ČR, směrnice a nařízení EU

Rubrika: Kybernetická bezpečnost a bezpečnost informací

Datum: 02.11.2022

Aktualizace: 11.07.2024

Mohlo by Vás zajímat

Obsah:

  • Zákony ČR
  • Vyhlášky ČR
  • Nařízení vlády ČR
  • Směrnice a nařízení EU

Zákony ČR

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti

Zákon, který tvoří hlavní legislativní rámec týkající se kybernetické bezpečnosti v České republice. Stanovuje práva a povinnosti osob a pravomoci orgánů veřejné moci (Národní bezpečnostní úřad - NBÚ, Národní úřad pro kybernetickou a informační bezpečnost - NÚKIB) na úseku kybernetické bezpečnosti, zapracovává související předpisy EU a upravuje zajištění elektronických komunikací, sítí a informačních systémů. Nutno dodat, že tento zákon se nevztahuje na informační a komunikační systémy nakládající s utajovanými informacemi dle zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti.

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti obsahuje:

  • vymezení základních pojmů;
  • bezpečnostní opatření pro zajištění kyberbezpečnosti;
  • rozdíly mezi bezpečnostní událostí a incidentem;
  • hlášení bezpečnostních incidentů;
  • evidenci bezpečnostních incidentů;
  • reaktivní a ochranné opatření;
  • stav kybernetického nebezpečí;
  • výkon státní správy;
  • kontroly, nápravná opatření a přestupky;
  • vymezení kontroly činnosti Úřadu a další.

Další související zákony

Mezi další české zákony, které souvisí s kybernetickou a informační bezpečností, patří:

  • Zákon č. 240/2000 Sb., o krizovém řízení a změně některých zákonů;
  • Zákon č. 365/2000 Sb., o informačních systémech veřejné správy;
  • Zákon č. 480/2004 Sb., o některých službách informační společnosti;
  • Zákon č. 127/2005 Sb., o elektronických komunikacích;
  • Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti.

Vyhlášky ČR

Vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti

Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) zapracovává příslušný předpis EU. Pro vyjmenované informační systémy upravuje:

  • obsah a strukturu povinné dokumentace kyberbezpečnosti;
  • obsah a rozsah bezpečnostních opatření;
  • kategorizaci a závažnost kybernetických incidentů;
  • způsob ohlášení kybernetického incidentu a reakce vč. jeho výsledku;
  • formu komunikace s úřady;
  • způsob likvidace dat, údajů a informací a další.

Vyhláška č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci

Vyhláška stanovuje orgánům veřejné moci (ministerstvům, úřadům, soudům, policii apod.) úrovně bezpečnosti při používání cloud computingu - poskytování počítačových služeb včetně serverů, vzdálených úložišť, databází, sítí, softwaru, analytiky apod. Tato vyhláška řeší zejména:

  • vymezení některých důležitých pojmů;
  • co je bezpečnostní úroveň při používání cloud computingu;
  • jak zařadit cloud computing do bezpečnostní úrovně;
  • seznam úrovní a oblastí dopadů;
  • skupiny kritérií pro oblast dopadu skupiny B. Ochrana osobních údajů.

Vyhláška č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu

Vyhláška Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) se týká některých požadavků pro zápis do katalogu cloud computingu. Tento katalog obsahuje všechny nabídky a poptávky cloud computingu pro orgány veřejné správy, které mají povinnost využívat poskytovatele cloudových služeb pouze z tohoto katalogu. Poskytovatelé zapsaní v katalogu musí splňovat pravidla pro zajištění dostupného řešení a bezpečnost shromažďovaných dat a informací. Vyhláška stanovuje:

  • požadavky na způsobilost poskytovatele cloud computingu zajistit ochranu důvěrnosti, integrity a dostupnosti informací veřejné správy;
  • seznam dostupných certifikací a auditů pro ochranu důvěrnosti, integrity a dostupnosti informací;
  • požadavky a náležitosti pro sestavení zprávy o realizaci penetračního testu (metoda hodnocení zabezpečení počítačových zařízení, systémů nebo aplikací);
  • požadavky a náležitosti auditní zprávy určené pro ověření existence plánu zajištění kontinuity provozu a plánu pro obnovu cloud computingu po havárii;
  • požadavky na strukturu dokladu o zhodnocení zdrojů rizik;
  • požadavky na strukturu dokumentů pro ověření splnění požadavků na zajištění důvěrnosti, integrity a dostupnosti informací.

Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích

Vyhláška NÚKIB a Ministerstva vnitra ČR stanoví významné informační systémy a jejich určující kritéria. Uvádí:

  • co jsou významné informační systémy;
  • jaká jsou kritéria pro určení významných informačních systémů.

Vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby

Vyhláška NÚKIB se zabývá kritérii pro určení provozovatele tzv. základní služby, která představuje službu, jejíž poskytování je závislé na elektronické komunikaci nebo informačních systémech a jejíž narušení, např. kybernetickým útokem, by mohlo mít vážný dopad na bezpečnost činností spojených s energetikou, zdravotnictvím, dopravou, vodním hospodářstvím, bankovnictvím, finančními trhy, digitální infrastrukturou a chemickým průmyslem. Tato vyhláška:

  • zapracovává příslušný předpis Evropské unie;
  • upravuje odvětvová a dopadová kritéria pro určení provozovatele základní služby;
  • vymezuje význam dopadů narušení základních služeb apod.

Další související vyhlášky

Mezi další české vyhlášky související s kybernetickou a informační bezpečností, utajovanými informacemi, zabezpečení kryptografické ochrany apod., patří:

  • Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor;
  • Vyhláška č. 525/2005 Sb., o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací;
  • Vyhláška č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků.

Nařízení vlády ČR

Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury

Nařízení vlády České republiky o kritériích pro určení prvku kritické infrastruktury (KI), která představuje např. veřejnou správu (úřady, policie, veřejné instituce), komunikační a informační systémy (mobilní síť, poštovní služby, televize apod.), nouzové služby (ZZS, hasiči, policie), energetickou infrastrukturu aj. Nařízení ve znění Nařízení vlády č. 315/2014 Sb. stanovuje:

  • průřezová a odvětvová kritéria pro určení prvku KI.

Směrnice a nařízení EU

Směrnice Evropského parlamentu a Rady (EU) 2016/1148

Směrnice o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Evropské unii. Směrnice obsahuje:

  • obecná ustanovení týkající se:
    • předmětu a oblasti působnosti,
    • zpracování osobních údajů,
    • minimální harmonizace,
    • definicí a termínů,
    • určování provozovatelů základních služeb,
    • významného narušení kyberbezpečnosti;
  • národní rámec pro bezpečnost sítí a informačních systémů týkající se:
    • národní strategie kybernetické bezpečnosti,
    • vnitrostátních orgánů a kontaktního místa,
    • bezpečnostních týmů CSIRT (Computer Security Incident Response Team),
    • spolupráce na vnitrostátní úrovni;
  • vymezení skupiny pro mezinárodní spolupráci na kyberbezpečnosti;
  • bezpečnostní požadavky a hlášení kybernetických incidentů;
  • standardizace a dobrovolné hlášení incidentů;
  • úkoly a požadavky na bezpečnostní týmy CSIRT.

Obsah této směrnice byl do českého právního řádu transponován primárně v podobě novelizace zákona o kybernetické bezpečnosti a související vyhlášky o kybernetické bezpečnosti.

Prováděcí nařízení komise (EU) 2018/151

Prováděcí nařízení komise stanovuje pravidla pro uplatňování směrnice Evropského parlamentu a Rady (EU) 2016/1148, pokud jde o bližší upřesnění prvků, které musí poskytovatelé digitálních služeb zohledňovat při řízení bezpečnostních rizik, jimiž jsou vystaveny sítě a informační systémy, a parametrů pro posuzování toho, zda je dopad incidentu významný. Prováděcí nařízení shrnuje:

  • bezpečnostní prvky;
  • parametry pro zohlednění při posuzování významu dopadu incidentu;
  • co je významný dopad incidentu.

POŽÁDEJTE O ZASLÁNÍ

NABÍDKY JEŠTĚ DNES