Kybernetická bezpečnost

Transkript

1 Kybernetická bezpečnost Konference Cyber Security 2018 Mgr. Jana Pattynová, LL.M

2 ÚVOD Témata prezentace Stav legislativního vývoje Regulované osoby a systémy Novinky v úpravě

3 VÝVOJ LEGISLATIVY

4 LEGISLATIVNÍ VÝVOJ Časová osa Nařízení o kritériích pro určení prvku KI - novela Přijetí zákona ZKB Vyhláška o kybernetické bezpečnosti Vyhláška o významných IS a jejich určujících kritériích Vyhláška o významných IS - novela Návrh adaptačních zákonů ČR Novela ZKB - účinnost Vyhláška o kritériích pro učení provozovatelů základní služby Účinnost adaptačních zákonů ČR Novela vyhlášky o kybernetické bezpečnosti Čvc 2014 Led 2015 Dub 2016 Čvc 2016 Srp 2017 Říj 2017 Úno 2018 Kvě 2018 Přijetí GDPR Platnost směrnice NIS Schválení eprivacy EP Prováděcí nařízení EK k NIS Účinnost GDPR Účinnost eprivacy ( LIBE )

5 LEGISLATIVNÍ VÝVOJ Cílový stav legislativního vývoje (2018) PRÁVO EU NIS GDPR eprivacy ČESKÉ PRÁVO Novela zákona o kybernetické bezpečnosti Implementační zákon o ochraně osobních údajů Novela ZEK a ZIS Vertikální regulace Vertikální regulace Finanční instituce Telekomunikační operátoři Poskytovatelé zdr. služeb Veřejný sektor Energetika X Poskytovatelé cloudu X Poskytovatelé služeb X X Výrobní společnosti X X Maloobchodní řetězce X X

6 LEGISLATIVNÍ VÝVOJ Právní úprava v České republice Zákon č. 181/2014 Sb., o kybernetické bezpečnosti novela č. 205/2017 Sb. Vyhláška č. 316/2014 Sb. o kybernetické bezpečnosti návrh novely poslední znění Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích novela č. 205/2016 Sb. Vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury novela č. 315/2014 Sb.

7 LEGISLATIVNÍ VÝVOJ Právní úprava EU Směrnice NIS Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 Implementována novelou ZKB Prováděcí nařízení Komise Prováděcí nařízení Komise (EU) 2018/151 ze dne 30. ledna 2018 Bližší upřesnění bezpečnostních opatření pro poskytovatele digitálních služeb Stanovení parametrů pro posuzování významnosti dopadu incidentu Účinnost od 10. května 2018

8 IMPLEMENTACE ZKB Novinky od srpna 2017 Rozšíření působnosti a okruhu povinných osob základní a digitální služba Rozšíření povinností při kybernetických bezpečnostních událostech a incidentech Povinnosti orgánů veřejné moci při uzavírání smluv na cloud computing Informační povinnost, úprava přestupků a pokut až 5 mil. Kč Zřízení NÚKIB

9 REGULOVANÉ OSOBY A SYSTÉMY

10

11 REGULOVANÉ OSOBY A SYSTÉMY Regulované orgány a osoby Poskytovatel služby el. komunikací Subjekt zajišťující síť el. komunikací Orgán/osoba zajišťující významnou síť Správce/provozovatel IS / KS kritické informační infrastruktury Správce/provozovatel významného IS Správce a provozovatel IS základní služby Provozovatel základní služby Poskytovatel digitální služby

12 REGULOVANÉ OSOBY A SYSTÉMY Regulované orgány a osoby Orgány veřejné moci Subjekty v definovaných odvětvích např. zdravotnictví, vodní hospodářství, energetika, doprava atd. Poskytovatelé služeb elektronických komunikací Poskytovatelé cloudových služeb Poskytovatelé služeb internetových vyhledávačů Poskytovatelé online tržišť

13 REGULOVANÉ OSOBY A SYSTÉMY Struktura regulace Významný IS Významná síť Info. systém KI Kom. systém KI IS základní služby Digitální služba Služba el. komunikací X Sít el. komunikací Kritická infrastruktura Základní služba Orgány veřejné moci Orgány veřejné moci + Definovaná odvětví Online tržiště Internetové vyhledávače Cloud computing Dopadová a oblastní kritéria Průřezová a odvětvová kritéria

14 REGULOVANÉ OSOBY A SYSTÉMY Struktura regulace Služba elektronických komunikací Síť elektronických komunikací Významná síť Poskytovatel služby nebo sítě elektronických komunikací Orgán nebo osoba zajišťující významnou síť Hlášení kontaktních údajů národnímu CERT týmu (CSIRT.CZ) Hlášení kybernetických bezpečnostních incidentů národnímu CERT týmu (CSIRT.CZ) Provádění reaktivních opatření Oznámení o provedení reaktivních opatření vládnímu CERT týmu (GovCERT.CZ) Provádění ochranných opatření Komunikační nebo informační systém kritické informační infrastruktury Správce IS nebo KS kritické informační infrastruktury Detekce kybernetických bezpečnostních událostí Hlášení kontaktních údajů vládnímu CERT týmu (GovCERT.CZ) Významný informační systém Správce významného informačního systému Implementace a provádění bezpečnostních opatření Hlášení kybernetických bezpečnostních incidentů vládnímu CERT týmu (GovCERT.CZ) Poz.: není zahrnuta základní a digitální služba

15 IMPLEMENTACE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI

16 IMPLEMENTACE ZKB Oblasti implementace ZKB Technická opatření Bezpečnostní dokumentace Procesní a organizační opatření Fyzická bezpečnost Ochrana integrity kom. sítí, Ověřování identity uživatelů Řízení přístupových oprávnění Bezpečnostní politika Zpráva o hodnocení aktiv a rizik Plán zvládání rizik Hlášení bezpečnostních událostí a incidentů Řízení bezpečnosti informací, rizik, aktiv, bezpečnosti lidských zdrojů Bezpečnostní politika Organizační bezpečnost

17 ?

18 Spolu s kancelářemi v Londýně, Bruselu a Moskvě jeden z největších specializovaných právních týmů zaměřených na právo technologií, médií a komunikací Hlavní oblasti praxe: Ochrana osobních údajů IT smlouvy, včetně smluv na cloudové produkty IoT M&A transakce v technologickém sektoru Podpora start-upů při vstupu na zahraniční trhy Pracovní právo (včetně technologických aspektů smluv zaměstnanců, BYOD) IP právo Média Telekomunikační právo Více informací: Partneři odpovědní za Cyber Security projekty : Jana Pattynová jana.pattynova@pierstone.com let nejvyšší nezávislá hodnocení pro oblast technologie Lenka Suchánková lenka.suchankova@pierstone.com