Zákon o kybernetické bezpečnosti

Zákon o kybernetické bezpečnosti

Od 1. dubna 2018 je účinný zákon č. 69/2018 Sb. o kybernetické bezpečnosti a o změně některých zákonů (dále jen "zákon oKB“).

Podle informace z webového sídla Národního bezpečnostního úřadu SR zákon o KB "komplexně upravuje oblast kybernetické a informační bezpečnosti, zavádí základní bezpečnostní požadavky a opatření důležité pro koordinovanou ochranu informačních, komunikačních a řídících systémů. Zároveň do slovenského právního řádu transponuje evropskou směrnici o síťové a informační bezpečnosti (NIS).“

Zákon o KB vyžaduje, aby poskytovatelé služeb provedly a dodržovali konkrétní bezpečnostní procesy prostřednictvím moderních bezpečnostních technologií a ukládá jim povinnost odhalit případy ohrožení počítačové bezpečnosti ve velkých sítích a komunikačních nebo informačních systémech. Jakékoliv nesplnění zákonných povinností ze strany poskytovatelů služeb může mít za následek uložení pokut až do výše 300 000 eur.

V důvodové zprávě k vládnímu návrhu zákona o KB se mimo jiné uvádí: "Národní bezpečnostní úřad, jako ústřední orgán státní správy pro kybernetickou bezpečnost, připravil na základě schváleného programového prohlášení vlády Slovenské republiky na roky 2016 - 2020 av souladu se schválenou Koncepcí kybernetické bezpečnosti Slovenské republiky na roky 2015 -2020 a akčním plánem realizace Koncepce kybernetické bezpečnosti Slovenské republiky na období 2015 - 2020 návrh zákona o kybernetické bezpečnosti ao změně některých zákonů (dále jen "návrh zákona"), kterým do národního právního řádu transponuje směrnici Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních na zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (dále jen "směrnice NIS“).“

Sítě a informační systémy hrají zásadní roli při volném pohybu a často jsou propojovány a spojovány internetem jako globálním nástrojem. Narušení sítě a informačních systémů v jednom členském státě proto dotýká dalších členských států a celé Evropské unie. Odolnost sítí a stabilita informačního systému je základním předpokladem hladkého a nerušeného fungování vnitřního trhu Evropské unie a předpokladem důvěryhodné mezinárodní spolupráce.

Směrnice NIS představuje první celoevropskou legislativní úpravu v oblasti kybernetické bezpečnosti, která se zaměřuje na posílení pravomocí příslušných vnitrostátních orgánů, zvyšuje jejich vzájemnou koordinaci a představuje bezpečnostní podmínky pro klíčové sektory.

Cílem směrnice NIS je zaručit společnou bezpečnost sítí a informačních systémů v rámci Evropské unie prostřednictvím zvýšení bezpečnosti internetu a soukromých sítí a informačních systémů, na kterých je do značné míry postavené fungování hospodářských a společenských zájmů.

Významným subjektem na poli počítačové bezpečnosti v Evropské unii je Evropská agentura pro bezpečnost sítí a informací (ENISA), která přispívá k zajišťování vysokého stupně bezpečnosti a ve spolupráci s evropskými zeměmi vytváří společnou kulturu bezpečnosti sítí a informačních systémů v Evropské unii.

Povinnosti členských států vyplývající ze směrnice NIS jsou nastaveny na nejnižší přijatelné úrovni nezbytné k dosažení požadované připravenosti a k zajištění mezistátní spolupráce založené na důvěře. Členské státy mohou v rámci přijatých opatření zohledňovat své vnitrostátní specifika a každý členský stát v tomto směru transponuje směrnici NIS s ohledem na reálné, skutečná rizika vyskytující se ve společnosti.

Směrnice NIS zejména:

• vyžaduje, aby specifické druhy odpovědnosti v kybernetické oblasti probrali v první řadě provozovatelé základních (dále jen "PZS") a digitálních služeb (dále jen "PDS");
• zavádí bezpečnostní požadavky a požadavky na hlášení kybernetických bezpečnostních incidentů pro PZS a pro PDS;
• ukládá členským státům povinnost určit příslušné vnitrostátní orgány, jednotná kontaktní místa a bezpečnostní týmy jednotek pro řešení kybernetických bezpečnostních incidentů (dále jen "jednotka CSIRT");
• ukládá členským státům povinnost přijmout národní strategii kybernetické bezpečnosti;
• stanoví skupinu pro spolupráci, s cílem podpořit strategickou spolupráci a výměnu informací mezi členskými státy a budovat vzájemnou důvěru;
• stanovuje síť jednotek CSIRT, jejímž účelem je přispívat k budování důvěry mezi členskými státy a podporovat účinnou spolupráci.

Ve smyslu zákona o KB se za kybernetický bezpečnostní incident považuje každá událost, která způsobuje nebo může způsobit narušení bezpečnosti informací v informačních systémech nebo službách elektronických komunikací a sítích. Poskytovatelé služeb jsou povinni hlásit kybernetické bezpečnostní incidenty Národnímu bezpečnostnímu úřadu SR ("NBÚ"), který má postavení národní jednotky pro řešení počítačových incidentů s působností pro Slovenskou republiku („CSIRT“).

V návaznosti na legislativní záměr návrhu zákona o informační bezpečnosti, ve kterém byly stanoveny kromě dílčích cílů dva základní okruhy problémů, a to zajištění ochrany pro informační systémy veřejné správy a vytvoření obecného právního rámce pro ochranu celého digitálního prostoru Slovenské republiky, je také v souladu s naplněnými cíli směrnice NIS možné konstatovat, že návrh zákona o kybernetické bezpečnosti komplexně a vyčerpávajícím způsobem řeší všechny relevantní otázky.

Přípravě návrhu zákona předcházela široká odborná diskuse. Národní bezpečnostní úřad v rámci příprav organizoval workshopy na téma provedení směrnice NIS do národního právního řádu, probíhaly konzultace s akademickou obcí i odbornou veřejností, byly zřízeny příslušné pracovní skupiny. Zákon byl tedy vypracován i na základě podnětů a po konzultaci s veřejnými orgány, které se k navrhovaným změnám oblastem úprav vyjádřili, jakož i na základě podnětů a diskusí se zástupci odborné veřejnosti.

Provozovatel základních služeb

Identifikační kritéria základní služby a její provozovatele jsou uvedeny v prováděcím nařízení NBÚ, a to ve vyhlášce č. 164/2018 Sb. ("Vyhláška").

Podle ustanovení Zákona o KB provozovatel základních služeb, pokud tento přesahuje identifikační kritéria stanovená vyhláškou, je povinen informovat NBÚ do 30 dnů ode dne, kdy překročení zjistil. NBÚ následně zařadí základní službu do seznamu základních služeb a její provozovatele do rejstříku provozovatelů základních služeb.

Provozovatel je povinen přijmout a dodržovat obecná bezpečnostní opatření nejméně v rozsahu vymezeném zákonem o KB a sektorové bezpečnostní opatření, pokud jsou přijaty.

V případě, že provozovatel využívá třetí stranu - dodavatele síťových a informačních systémů, je povinen uzavřít smlouvu s tímto dodavatelem o zabezpečení dodržování bezpečnostních opatření a oznamovacích povinností podle zákona o KB po celou dobu platnosti dodavatelské smlouvy.

Zákon o KB také upravuje několik oznamovacích povinností vůči třetím stranám, NBÚ, orgánu činnému v trestním řízení nebo policii. Závazky provozovatele základních služeb zahrnují nejen oznámení o registraci služby a její provozovatele do příslušného rejstříku nebo oznámení o kybernetických bezpečnostních incidentech. Zákonné povinnosti jsou rozsáhlé a zahrnují i povinnost provozovatele spolupracovat s příslušnými orgány při řešení kybernetických bezpečnostních incidentů, poskytování důležitých informací, zajištění důkazů pro trestní řízení a oznamování trestného činu souvisejícího s kybernetickou bezpečnostní.

Poskytovatel digitálních služeb

Zákon o KB definuje digitální službu a její poskytovatele. Digitální služby zahrnují on-line tržiště, internetové vyhledávače a cloud computing služby poskytované právnickou osobou nebo fyzickou osobou - podnikatelem, který zároveň zaměstnává nejméně 50 zaměstnanců a má roční obrat nebo roční bilanci více než 10 000 000 eur.

Poskytovatel digitálních služeb je povinen oznámit NBÚ zahájení poskytování digitálních služeb. Na základě tohoto oznámení bude digitální služba zařazena do seznamu digitálních služeb a její poskytovatel do registru poskytovatelů digitálních služeb.

Podobně jako provozovatel základních služeb je poskytovatel digitálních služeb povinen přijmout a dodržovat příslušné bezpečnostní opatření, avšak podle zvláštních předpisů pro účely řízení rizik spojených s ohrožením kontinuity digitálních služeb a procesu řešení kybernetických bezpečnostních incidentů. V této souvislosti musí poskytovatel posuzovat zejména bezpečnost sítí a informačních systémů a jeho schopnost předcházet a řešit kybernetické bezpečnostní incidenty, potřebné prostředky pro zajištění kontinuity digitálních služeb v případě kybernetického bezpečnostního incidentu a soulad sítí a informačních systémů s bezpečnostními normami.

Poskytovatel digitálních služeb navíc podléhá několika oznamování povinnostem týkajících se oznamování kybernetických bezpečnostních incidentů, jakož i povinnostem spolupracovat s příslušnými orgány při řešení těchto incidentů.

Sankce

NBÚ vykonává kontrolu nad dodržováním ustanovení zákona o KB. V případě, že provozovatelé základních služeb nebo poskytovatelé digitálních služeb poruší povinnosti nebo jinak nesplňují požadavky stanovené zákonem o KB, NBÚ může uložit pokuty od 300 eur až do výše 300 000 eur. V každém případě NBÚ posuzuje závažnost správního deliktu, zejména způsob, jakým byl spáchán, jeho trvání, důsledky a okolnosti, za kterých byl čin spáchán.

Závěr

Zákon o KB ukládá celou škálu povinností poskytovatelem služeb s cílem předcházet a zjistit kybernetické bezpečnostní incidenty v sítích a informačních systémech. Je důležité zdůraznit, že sem spadají nejen základní notifikační povinnosti, ale i povinnost řešit kybernetické bezpečnostní incidenty a spolupracovat s příslušnými orgány při jejich řešení. Provozovatelé základních služeb a poskytovatelé digitálních služeb by měli věnovat náležitou pozornost těmto povinnostem, protože jejich nedodržení může vést k uložení značných pokut.