Zákon o kybernetické bezpečnosti na startovní čáře

Transkript

1 Zákon o kybernetické bezpečnosti na startovní čáře

2 81% velkých společností zažilo v roce 2013 bezpečnostní incident 2,2 4 mil. Kč Cena nejzávažnějšího bezpečnostního incidentu v malé společnosti dvojnásobek ceny v roce % velkých společností mělo bezpečnostní incident zaviněný zaměstnancem 31% Procento nejzávažnějších bezpečnostních incidentů způsobených lidskou chybou 10% Průměrná velikost IT rozpočtu věnovaná ve velkých firmách na zabezpečení (15% pro menší podniky) mil. Kč Cena nejzávažnějšího bezpečnostního incidentu ve velké společnosti 73% velkých společností se stalo obětí viru nebo škodlivého softwaru 1/5 Počet nejzávažnějších bezpečnostních incidentů způsobených úmyslným zneužitím zaměstnanci 16 Průměrný počet incidentů, které velké společnosti v roce 2013 řešily

3 Zdroj: IBM X-Force Research & Development

4 Zákon o kybernetické bezpečnosti Cíl: zajištění vysoké úrovně síťové a informační bezpečnosti a řešení zásadních bezpečnostních incidentů

5 Zákon o kybernetické bezpečnosti Proč zrovna zákon? Varianty ochrany: Nulová IS nakládající s utajovanými informacemi Veřejné IS Kybernetický prostor + soukromá spolupráce SOUČASNÝ STAV Kybernetický prostor + regulátor

6 Zákon o kybernetické bezpečnosti Proč nový zákon? Objekt regulace Systematika a prostředky Kritická informační infrastruktura ZKB 1) Zavazuje odlišný okruh subjektů 2) Stav kybernetického nebezpečí 3) Specifické pojmy 4) Kompetence orgánů Krizový zákon 1) Obecně závazný 2) Krizový stav

7 Zákon o kybernetické bezpečnosti Vztah zákona a jiných právních předpisů Směrnice o EKI Návrh směrnice o kybernetické bezpečnosti Transponována ZEK ZISVS Krizový zákon Uplatní se paralelně Zákon o kybernetické bezpečnosti Pojmy Kritéria prvků KI Novela Subjekty, povinnosti ZOUI Nařízení o určení prvku kritické infrastruktury (KI) Prováděcí vyhlášky

8 Nařízení vlády a prováděcí vyhlášky Vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) Schválena 15. prosince 2014 Vyhláška č. 317/2014 Sb., o stanovení významných informačních systémů a jejich určujících kritériích Schválena 15. prosince 2014 Novela nařízení vlády č. 432/2010 Sb. Schválena 8. prosince 2014, usnesení Vlády ČR č Vyhlášeno ve sbírce zákonů dne 19. prosince 2014, účinné od 1. ledna 2015.

9 Zákonná úprava Jakým způsobem má být kyberprostor zabezpečen?

10 Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje

11 Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Zákon subjekty rozděluje do pěti kategorií 1. Poskytovatel služeb el. kom. / sítí el. kom. 2. Orgán/osoba zajišťující významnou síť 3. Správce informačního systému KII 4. Správce komunikačního systému KII 5. Správci významných IS Každé kategorii ukládá zákon různé povinnosti Méně exponované subjekty Více exponované subjekty Intenzita povinností se odvíjí od podílu dané kategorie na jejím významu pro kybernetickou bezpečnost

12 Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury Průřezovým kritériem pro určení prvku kritické infrastruktury je hledisko: a) obětí s mezní hodnotou více než 250 mrtvých nebo více než osob s následnou hospitalizací po dobu delší než 24 hodin, b) ekonomického dopadu s mezní hodnotou hospodářské ztráty státu vyšší než 0,5% hrubého domácího produktu, nebo c) dopadu na veřejnost s mezní hodnotou rozsáhlého omezení poskytování nezbytných služeb nebo jiného závažného zásahu do každodenního života postihujícího více než osob.

13 Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Národní CERT? Vládní CERT

14 Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a ochranných a reaktivních opatření.

15 Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a ochranných a reaktivních opatření. Bezpečnostní opatření Organizační např. plánování, procesy, kontrola Technická např. kryptografie, oprávnění, fyzická bezpečnost Pouze pro správce významných IS a výše (3-5) 1 rok na adaptaci Specifikuje vyhláška NBÚ

16 Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a ochranných a reaktivních opatření Evidence kybernetických bezpečnostních událostí Hlášení kybernetických bezpečnostních incidentů vyhodnocení hrozeb opatření Od osob zajišťujících významnou síť výše 1 rok na započetí s hlášením Opět specifikuje vyhláška NBÚ

17 Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a ochranných a reaktivních opatření Preventivní povaha Reakce na vyřešený bezpečnostní incident či získané zkušenosti Okamžitá reakce na výskyt bezpečnostního incidentu Forma Forma Rozhodnutí Opatření obecné povahy Opatření obecné povahy Varování vydává se v případě zjištění hrozby (součástí může být i doporučené řešení)

18 Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a ochranných a reaktivních opatření Zaveden nový mimořádný stav stav kybernetického nebezpečí

19 Zákonná úprava Základní principy Ohrožení bezpečnosti nebo integrity informací, Zákon ukládá služeb nebo povinnosti sítí velkého osobám, rozsahu a které riziko ohrožení mají významný podíl na zájmů informační ČR infrastruktuře na území státu a stát s Nerozšiřuje kompetence orgánů, rozšiřuje pouze těmito osobami skrze zřízené instituce spolupracuje okruh subjektů povinných provádět opatření Kyberprostor Informace ČR na je úřední pak chráněn desce a v médiích pomocí bezpečnostních opatření, hlášení a ochrannýchh a reaktivních opatření Zaveden nový mimořádný stav stav kybernetického nebezpečí

20 Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a ochranných a reaktivních opatření Zaveden nový mimořádný stav stav kybernetického nebezpečí Dodržování výše uvedeného je NBÚ oprávněn kontrolovat a při porušení ukládat sankce

21 Zákonná úprava Základní principy Kontrola plnění zákonných povinností u méně exponovaných subjektů pouze plnění povinností za stavu Zákon ukládá povinnosti osobám, kybernetického které mají nebezpečí významný podíl na informační infrastruktuře u více na exponovaných území státu, subjektů a stát v s těmito osobami skrze zřízené instituce plném rozsahu spolupracuje vč. aktualizace Přiměřené kontaktních údajů Kyberprostor rozsahu ČR je pak chráněn pomocí bezpečnostních zmocnění ke Nemusí být předem ohlašovány opatření, hlášení a preventivních a reaktivních opatření. kontrole Uložení povinnosti odstranit nedostatky i zákazu systém používat Zaveden nový Pokuta mimořádný do výše stav stav kybernetického nebezpečí Kč Dodržování výše uvedeného je NBÚ oprávněn kontrolovat a při porušení ukládat sankce

22 Ke startovní čáře

23 Ke startovní čáře Co nás čeká a nemine Všechny povinné subjekty: Předání kontaktních údajů příslušnému CERT 1 měsíc Subjekty 2-5: Monitoring a hlášení (3-5) kybernetických bezpečnostních incidentů 1 rok od určení Více exponované subjekty (3-5): Implementace bezpečnostních opatření 1 rok od určení Sledování vývoje

24 Ke startovní čáře Hlášení kontaktních údajů - formulář Část A: Údaje o orgánu a osobě uvedené v 3 zákona Název včetně odlišujícího dodatku nebo dalšího označení Adresa sídla Identifikační číslo Část B: Identifikace informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému Část C: Údaje o fyzické osobě, která je za orgán nebo osobu uvedenou v 3 zákona oprávněna jednat ve věcech upravených zákonem Jméno, příjmení Telefon pevná linka Mobilní telefon Adresa elektronické pošty

25 Ke startovní čáře Hlášení kybernetického incidentu, hlášení provedení opatření Přílohy k Vyhlášce k ZKB

26 Nárůst poptávky po profesionálech z oboru zabezpečení počítačových systémů Stále zůstává lidský prvek Náklady a administrativní zátěž pro povinné subjekty Vliv na atraktivitu ČR pro ICT investory Riziko vysokých škod pro providery B2B služeb Příležitost pro dodavatele certifikovaných IS a bezpečných řešení obecně Zvýšení důvěryhodnosti českého online prostředí Naplnění účelu zákona ve státní sféře závisí na dalších faktorech

27 Děkuji za pozornost Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated and associated businesses. Bird & Bird LLP is a limited liability partnership, registered in England and Wales with registered number OC and is authorised and regulated by the Solicitors Regulation Authority. Its registered office and principal place of business is at 15 Fetter Lane, London EC4A 1JP. A list of members of Bird & Bird LLP and of any non-members who are designated as partners, and of their respective professional qualifications, is open to inspection at that address. twobirds.com