Poslanecká sněmovna Parlamentu České republiky schválila dne 18. června 2014 ve 3. čtení návrh zákona o kybernetické bezpečnosti a o změně souvisejících zákonů (ZKB). Návrh zákona bude dále postoupen Senátu Parlamentu České republiky k dalšímu projednání a schválení.
K provedení zákona o kybernetické bezpečnosti jsou připravovány tyto prováděcí právní předpisy:
- Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
Návrh této vyhlášky připravuje Národní bezpečnostní úřad. Vyhláška o kybernetické bezpečnosti byla v prvním čtvrtletí tohoto roku konzultována s odbornou veřejností a nyní finalizují práce na jejím konečném znění, přičemž její rozeslání do meziresortního připomínkového řízení se předpokládá v červenci 2014.
- Vyhláška, kterou se stanoví významné informační systémy a jejich určující kritéria
Návrh této vyhlášky připravuje Národní bezpečnostní úřad ve spolupráci s Ministerstvem vnitra a její rozeslání do meziresortního připomínkového řízení se předpokládá v září 2014.
- Novela nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury
Národní bezpečnostní úřad se podílel na tvorbě části předmětné novely, konkrétně na stanovení odvětvových kritérií pro určení prvku kritické infrastruktury v oblasti kybernetické bezpečnosti. Návrh této novely je však v gesci Ministerstva vnitra a termín jejího rozeslání do meziresortního připomínkového řízení doposud nebyl pevně stanoven.
Subjekty kritické informační infrastruktury a správci významných informačních systémů budou v průběhu roku 2015 určovány. ZKB pak stanoví pro tyto určené subjekty roční přechodné ustanovení, které začne plynout ode dne okamžiku určení, resp. naplnění určujících kritérií, ve kterém se budou připravovat na plnění stěžejních povinností podle ZKB.
K dotazům obcí k vyhlášce, kterou se stanoví významné informační systémy a jejich určující kritéria
V poslední době se množí dotazy obcí s žádostí o sdělení, zda na ně budou dopadat povinnosti stanovené ZKB, a to zejména v souvislosti s povinností aplikovat bezpečnostní opatření v jimi spravovaných informačních systémech.
ZKB stanoví pět skupin regulovaných subjektů, přičemž k orgánům veřejné moci se vztahují pouze dvě z této skupiny regulovaných subjektů. Jednou z nich je správce tzv. významného informačního systému, další je správce systému zařazeného do kritické informační infrastruktury. ZKB oba tyto správce definuje a podrobnosti pro jejich určení budou stanovovat prováděcí předpisy, které v současné době vznikají ve spolupráci Národního bezpečnostního úřadu a Ministerstva vnitra.
Národní bezpečností úřad prosazuje názor, že informační systémy, jejichž správcem je obec, nebudou zahrnuty ani do kritické informační infrastruktury – tedy kritické infrastruktury v oblasti kybernetické bezpečnosti, ani mezi významné informační systémy. Standardizace podle prováděcích předpisů k ZKB by se tedy na obce povinně vztahovat neměla.
Nutno však upozornit na to, že požadavek na zajištění bezpečnosti informací v informačních systémech stanoví již zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů a využití nově vznikajících standardů při zabezpečování informačních systémů je vhodné i pro ty subjekty, jimž to právní předpis (ZKB) nenařizuje.
