ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

Transkript

1 ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY JUDr. Josef Donát, LLM, ROWAN LEGAL, advokátní kancelář s.r.o. Řízení informa-ky v soukromém a veřejném sektoru, , Praha

2 KYBERNETICKÁ BEZPEČNOST Kyberne-cký prostor ( 2 písm. a) ZKB): digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořene informačními systémy, a službami a sítěmi elektronických komunikací

3 ZÁKON O KYBERNETICKÉ BEZPEČNOSTI zákon č. 181/2014 Sb., o kyberne-cké bezpečnos- a o změně souvisejících zákonů (zákon o kyberne-cké bezpečnos-) Schválen Senátem, podpis prezidenta Účinnost od

4 PROVÁDĚCÍ PŘEDPISY Nařízeni vlády, kterým se měni nařízeni vlády č. 432/2010 Sb., o kritériích pro určeni prvku kri-cke infrastruktury Vyhláška o bezpečnostních opatřeních, kyberne-ckých bezpečnostních incidentech, reak-vních opatřeních a o stanovení náležitos- podáni v oblas- kyberne-cke bezpečnos- (vyhláška o kyberne-cke bezpečnos-) Vyhláška o významných informačních systémech a jejich určujících kritériích Publikováno ve Sbírce zákonů:

5 CÍLE Ochrana jednotlivců Ochrana státu Závazky vůči zahraničí (EU Cybersecurity Direc-ve)

6 PRINCIPY A NÁSTROJE Dva CERTy (Cybersecurity emergency response team) Národní CERT Vládní CERT (NBÚ) Registrace Oznamování Bezpečnostní standardy Ukládání pro-opatření

7 POVINNÉ SUBJEKTY Poskytovatelé služeb elektronických komunikací a subjekty zajišťující sítě elektronických komunikací Subjekty zajišťující významné sítě Správci významných informačních systému Správci komunikačních systémů zaražených do krizcké informační infrastruktury Správci informačních systému zaražených do krizcké informační infrastruktury

8 ELEKTRONICKÉ KOMUNIKACE Poskytovatelé služeb a subjekty zajišťující sítě Povinnos- Hlásit kontaktní údaje národnímu CERT Ve stavu kyberne-ckého nebezpečí Provádět reak-vní pro-opatření NBÚ

9 VÝZNAMNÉ SÍTĚ Přímé zahraniční propojení nebo přímé připojení ke kri-cké informační infrastruktuře Povinnos- Hlásit kontaktní údaje národnímu CERT Detekovat a reportovat bezpečnostní incidenty národnímu CERT Ve stavu kyberne-ckého nebezpečí Provádět reak-vní pro-opatření NBÚ

10 VÝZNAMNÉ INFORMAČNÍ SYSTÉMY Informační systémy orgánů veřejné moci, u kterých narušení bezpečnos- informací může ohrozit nebo výrazně omezit výkon činnos- veřejné správy Povinnos- Hlásit kontaktní údaje NBÚ Zpracovávat bezpečnostní dokumentaci Zavádět bezpečnostní opatření Detekovat a reportovat bezpečnostní incidenty NBÚ Provádět pro-opatření NBÚ

11 KRITICKÁ INFORMAČNÍ INFRASTRUKTURA Prvek nebo systém prvků kri-cké infrastruktury v odvětví komunikační a informační systémy podle zákona o krizovém řízení Povinnos- Hlásit kontaktní údaje NBÚ Zpracovávat bezpečnostní dokumentaci Zavádět bezpečnostní opatření Detekovat a reportovat bezpečnostní incidenty NBÚ Provádět pro-opatření NBÚ

12 STAV KYBERNETICKÉHO NEBEZPEČÍ Ohrožení systémů, síj či zájmů ČR Předseda vlády na návrh ředitele NBÚ Možnost ukládat pro-opatření všem provozovatelům síj a poskytovatelům služeb elektronických komunikací

13 APLIKACE V RÁMCI PČR Významné informační systémy Vyhláška NBÚ a MV o významných informačních systémech Konkrétní výčet + obecná kritéria Nezbytné pro výkon rozhodujících činnosj orgánu veřejné moci Ohrožení nebo omezení činnos- s nega-vní dopadem na veřejné zájmy Výběr informačních systémů provede správce na základě svého posouzení Kri-cká infastruktura (sítě/systémy) Nařízení vlády o kritériích pro určení prvku kri-cké infrastruktury - odvětví kyberne-cká bezpečnost určení usnesením vlády či opatřením obecné povahy NBU

14 KONKRÉTNÍ POVINNOSTI Nahlásit kontaktní údaje NBÚ Zavést bezpečnostní opatření Zpracovat bezpečnostní dokumentaci Detekovat a oznamovat bezpečnostních incidenty NBÚ Provádět pro-opatření NBÚ

15 KONTAKTNÍ ÚDAJE Do či do 30 dnů od vzniku povinnos- oznámit NBÚ Údaje orgánu Název, adresa sídla, iden-fikátor orgánu veřejné moci/ičo Údaje o fyzické osobě, která je za orgán oprávněna jednat ve věcech ZKB Jméno, příjmení, telefonní číslo a adresa elektronické pošty. Formulář stanoven vyhláškou Lis-nným hlášením/datovou schránkou

16 BEZPEČNOSTNÍ OPATŘENÍ Jiný rozsah u Kri-cké infrastruktury Významných IS (menší požadavky) Organizační opatření Technická opatření Možnost prokázat provedení cer-fikátem ISO Zavést do resp. do 12 měsíců od vzniku povinnosz

17 ORGANIZAČNÍ OPATŘENÍ Systém řízení bezpečnos- informací Řízení rizik Bezpečnostní poli-ka Organizační bezpečnost Kontrola a audit

18 ORGANIZAČNÍ BEZPEČNOST Bezpečnostní role (kri-cká infrastruktura) Manažer kyberne-cké bezpečnos- a architekt kyberne-cké bezpečnos- Řádně vyškoleni + praxe nejméně 3 roky s řízením bezpečnos- informací nebo s navrhováním bezpečnostní architektury Auditor kyberne-cké bezpečnos- (nesmí být totožný) Řádně vyškolen + praxe nejméně 3 roky s prováděním auditů systému řízení bezpečnos- informací Garant ak-va a výbor pro řízení kyberne-cké bezpečnos-

19 TECHNICKÁ OPATŘENÍ Fyzická bezpečnost Řízení přístupových oprávnění Aplikační bezpečnost Kryptografické prostředky

20 BEZPEČNOSTNÍ DOKUMENTACE Elektronicky Metodika pro iden-fikaci a hodnocení rizik Zpráva o hodnocení rizik Plán zvládání rizik Systém zvládání kyberne-ckých bezpečnostních incidentů

21 KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT Fyzické poškození Selhání infrastruktury Událos- způsobené škodlivým sowwarem (viry) Technické útoky Porušení organizačních opatření

22 DETEKCE A OZNAMOVÁNÍ BEZPEČNOSTNÍCH INCIDENTŮ Detekovat Určit kategorii (I až III dle závažnos-) Hlásit bezodkladně po detekci Elektronickým formulářem na hyp://hlaseni.nckb.nbu.cz em na adresu hlaseni@nckb.nbu.cz Datovou zprávou AutomaZzovaným hlášení prostřednictvím určeného rozhraní Lis-nným hlášením Od resp. do 12 měsíců od vzniku povinnosz

23 (PROTI)OPATŘENÍ Varování Ochranné opatření Opatření obecné povahy Zvýšení ochrany informačních systémů nebo služeb a sík elektronických komunikací Na základě analýzy již vyřešeného kybernezckého bezpečnostního incidentu

24 (PROTI)OPATŘENÍ II. Reak-vní opatření Rozhodnuj/opatření obecné povahy K řešení kybernezckého bezpečnostního incidentu anebo k zabezpečení informačních systémů nebo sík a služeb elektronických komunikací před kybernezckým bezpečnostním incidentem Povinnost oznámit provedení Změna nebo rozšíření zavedených organizačních opatření Změna nebo rozšíření zavedených technických opatření

25 KONTROLA A SANKCE NBÚ Nápravná opatření při nedostatcích Ve stanovené lhůtě odstranit, popřípadě jakým způsobem U bezprostředně ohrožených významných IS a KI možnost zakázat používání systému nebo čász do doby, než bude zjištěný nedostatek odstraněn Správní delikty (pokuta až Kč) Neprovádění bezpečnostní opatření anebo nevedení bezpečnostní dokumentaci Neohlášení kyberne-ckého bezpečnostního incidentu

26 ZÁKON NENÍ VŠELÉK Podstatou je prevence a sdílení informací Nezajišťuje zneškodnění útočníka Zdánlivě nejsnadnější obranou je odpojení Odpojen může být útočník i nevinné obě-

27 PROTIÚTOKY Pasivní versus ak-vní obrana Záleží na interpretaci pojmu reak-vní opatření Extenzivně vs. restrik-vně Otázky Kdo by měl rozhodnout? Kdo by měl provést? Kdo odpovídá?

28 STÍHÁNÍ KYBERZLOČINCŮ Není cílem zákona Jde o prevenci resp. zmírnění škod Nevytváří kriminalis-cké nástroje Povinná mlčenlivost CERTů

29 JUDr. Josef Donát, LLM cz.linkedin.com/in/josefdonat/ ROWAN LEGAL, advokátní kancelář s.r.o