FinExpert.e15.cz

Jste připraveni na zákon o kybernetické bezpečnosti?

Praha, 17. prosince 2014

Od 1. ledna příštího roku se Česká republika stane jednou z mála zemí, které mají zvláštní zákony zabývající se kybernetickou bezpečností. Pro řadu firem to může znamenat velmi hektický konec roku, nebo hrozbu vysokých pokut za nedodržování tohoto zákona v roce příštím.

Nový zákon č. 181/2014 Sb. je primárně zaměřen na zvýšení bezpečnosti kritické infrastruktury státu a významných informačních systémů, spravujících osobní údaje velkého množství lidí. Smyslem nových pravidel stanovených zákonem je předcházení závažným bezpečnostním hrozbám a možnost jejich řešení v reálném čase. „To by pochopitelně nebylo možné bez stanovení pravidel spolupráce mezi veřejnou správou a soukromým sektorem, přičemž nový zákon klade na firmy a státní instituce, pokud jde o kybernetickou bezpečnost, poměrně vysoké nároky. Vybrané státní i soukromé organizace mají navíc za povinnost hlásit kybernetické útoky a v souladu se zákonem na ně reagovat,“ upřesňuje Vladimír Michálek, Inovation & Infrastructure Business Unit Director ve společnosti Servodata.

Dohled nad kybernetickou bezpečností je dle zákona svěřen Národnímu bezpečnostnímu úřadu (NBÚ) a Národnímu centru kybernetické bezpečnosti se sídlem v Brně. Jakmile dojde k bezpečnostnímu incidentu (případně existuje reálná hrozba), může NBÚ vydat reaktivní nebo ochranné opatření, vedoucí k řešení incidentu nebo k zabezpečení klíčové infrastruktury. Novinkou je i možnost vyhlášení stavu kybernetického nebezpečí.

O tom, že kybernetickou bezpečnost státu nelze brát na lehkou váhu, svědčí i nedávné prohlášení ředitele Agentury pro národní bezpečnost USA (NSA), který uvedl, že v Číně a několika dalších zemích působí organizované skupiny hackerů, které mohou zcela vyřadit z provozu klíčové součásti infrastruktury Spojených států, jako jsou elektrárny či aerolinky.

Na koho se vztahuje?

Zákon o kybernetické bezpečnosti se bude týkat v první řadě poskytovatelů internetového připojení a obecně telekomunikačních služeb. Důkladně prostudovat by si jej ale měli rovněž i další provozovatelé významných IT infrastruktur, kteří jsou definováni na základě předpisu č. 432/2010 Sb. Tento předpis stanovuje kritéria pro organizace z oblasti veřejné správy, zdravotnictví, dopravy, energetiky, finančních služeb i provozovatele dalších komunikačních a informačních systémů, podle kterých lze snadno zjistit, zdali se nový zákon na danou firmu či organizaci vztahuje. Na příchod nového zákona musí být připraveni i správci významných informačních systémů, mezi které patří mnoho státních organizací a orgánů veřejné moci.

V současné době již existuje návrh novely nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury (z pohledu kybernetické bezpečnosti), ve kterém jsou nově stanovena i kritéria týkající se počtu osob a přenosové rychlosti. Podle tohoto návrhu by mezi prvky kritické infrastruktury patřily i informační systémy spravované orgánem veřejné moci obsahující osobní údaje o více než 300 000 osobách a komunikační systémy zajišťující připojení nebo propojení prvku kritické infrastruktury s kapacitou garantovaného datového přenosu nejméně 1 Gb/s.

Jaké jsou povinnosti?

Firmy a organizace, na které se bude nový zákon č. 181/2014 Sb. vztahovat, se musí připravit na rozsáhlá organizační i technická opatření, zahrnující především zavedení systému řízení bezpečnosti informací a rizik, řízení přístupu osob ke kritické informační infrastruktuře nebo k významnému informačnímu systému a především také zvládání kybernetických bezpečnostních incidentů.

Požadovaná technická opatření zahrnují vedle fyzického zabezpečení také nutnost zavedení nástrojů na ochranu integrity komunikačních sítí, ověřování identity uživatelů, řízení přístupových oprávnění a rovněž i ochranu před škodlivým kódem. Součásti kritické informační infrastruktury a významné informační systémy musejí být rovněž pod neustálým monitoringem, včetně sledování činnosti administrátorů a uživatelů, a jejich provozovatelé musí nasadit nástroje pro detekci kybernetických bezpečnostních událostí, jejich sběr a vyhodnocování.

Jak se připravit?

Firmy a organizace splňující požadavky na systém řízení bezpečnosti informací dle norem řady ISO/IEC 27000 budou na požadavky nového zákona o kybernetické bezpečnosti pravděpodobně připraveny, jelikož většina opatření tohoto zákona vychází právě z těchto norem. „Velké problémy ovšem mohou mít firmy a organizace, které bezpečnost svých informačních a komunikačních systémů dlouhodobě podceňovaly,“ varuje Vladimír Michálek ze společnosti Servodata. Postup uvedení stavu bezpečnosti do souladu s požadavky zákona nebude u těchto institucí vůbec snadný. Je při něm třeba začít zmapováním aktuálního stavu informačních systémů (jaká data a jakým způsobem se v něm spravují) a pokračovat nastavením příslušných procesních a technických opatření. Za neplnění povinností nového zákona (například nehlášení bezpečnostních incidentů, nevedení bezpečnostní dokumentace apod.) může být uložena sankce do výše 100 000 Kč.

Nejlepším východiskem pro firmy a instituce, které nevědí, kde s uvedením vlastní bezpečnosti do souladu s novým zákonem začít, je konzultace s profesionálním poskytovatelem služeb a řešení v oblasti bezpečnosti informačních a komunikačních systémů. Zavedení a správu řízení bezpečnosti IT infrastruktury a dat lze rovněž čerpat jako službu od externího poskytovatele. „I zde je ovšem nezbytné zvolit si kvalitního a spolehlivého partnera, jelikož ani v tomto případě se provozovatel informačního systému nezbavuje zodpovědnosti za jeho bezpečnost,“ uzavírá Vladimír Michálek.

Další článek



Další články

Spouštíme nový FinExpert!

Spouštíme nový FinExpert!

Několik posledních měsíců jsme intenzivně pracovali na nové verzi webu FinExpert.cz.

5.  4.  2017  |  Ondráčková Kamila

Sociální pojištění pro OSVČ v roce 2017

Sociální pojištění pro OSVČ v roce 2017

Zálohy živnostníků na sociální pojištění v roce 2017 porostou. Výše zálohy se vypočítává dle zisku v předchozím období. (aktualizováno)

4.  4.  2017  |  Gola Petr  |  7

Velká mapa malého podnikání: kde je konkurence, kde jsou příležitosti?

Velká mapa malého podnikání: kde je konkurence, kde jsou příležitosti?

4.  4.  2017  |  Pospíšil Aleš
Aplikace Záchranka pomáhá už rok. Nic nestojí, ale může být k nezaplacení

Aplikace Záchranka pomáhá už rok. Nic nestojí, ale může být k nezaplacení

3.  4.  2017  |  Pospíšil Aleš  |  1
V Praze je blaze. Z evropských regionů je v HDP na hlavu na 6. místě

V Praze je blaze. Z evropských regionů je v HDP na hlavu na 6. místě

3.  4.  2017  |  Pospíšil Aleš  |  3

Mzdová kalkulačka

Student
Držitel průkazu ZTP/P
Invalidita 1. nebo 2. stupně
Invalidita 3. stupně
Penze / rodičovská dovolená

Sociální pojištění pro OSVČ v roce 2017

Sociální pojištění pro OSVČ v roce 2017

Zálohy živnostníků na sociální pojištění v roce 2017 porostou. Výše zálohy se vypočítává dle zisku v předchozím období. (aktualizováno) více