Zákon o kybernetické bezpečnosti

Podobné dokumenty
Adam Kučínský. Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti

Jaroslav Šmíd náměstek ředitele

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

Právní výzvy v oblasti kybernetické bezpečnosti. Mgr. Petra Vrábliková advokát

Teze vyhlášky o určování provozovatelů základních služeb

VLÁDNÍ NÁVRH ZÁKON. ze dne 2017,

Václav Borovička. Seminář AFCEA a Policejní akademie ČR Listopad 2014, Praha

Evoluce kybernetické bezpečnosti z pohledu státu. Adam Kučínský Vedoucí oddělení regulace Odbor regulace auditu a podpory

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel

Kybernetická bezpečnost

Kybernetická bezpečnost ve veřejné správě. Jan Dienstbier Garant platformy KYBEZ

Zákon o kybernetické bezpečnosti a související předpisy

Ustanovení (čl., odst., Obsah písm., bod, této směrnice v platnost] přijmou a zveřejní a upravuje zajišťování bezpečnosti sítí

Zákon o kybernetické bezpečnosti a související předpisy

KYBERNETICKÁ BEZPEČNOST V ČESKÉ REPUBLICE

Synergie všeho Ěskoroě ISSS 2017

Aktuální situace. Jaroslav Šmíd náměstek ředitele NBÚ

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. srpna 2017

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

Určování Kritické informační infrastruktury. JUDr. et Mgr. Radomír Valica Vedoucí autorského týmu ZKB Národní bezpečnostní úřad 14.

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Ochrana osobních údajů a kybernetické bezpečnosti s GINIS. Jan Dienstbier Garant platformy KYBEZ

Zkušenosti a výsledky určování KII a VIS

Kybernetická bezpečnost

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Kybernetická bezpečnost ČR aktivity NBÚ. Jaroslav Šmíd náměstek ředitele NBÚ

Národní bezpečnostní úřad

INFORMACE O INSTITUTU ZÁKLADNÍ SLUŽBY. Shrnutí způsobu určení provozovatele základní služby a informačního systému základní služby

IDET AFCEA Květen 2015, Brno

o IS nebo KS naplňující průřezová a odvětvová kritéria v oblasti kybernetické bezpečnosti o Pro určování KII jsou důležité:

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

Kybernetická bezpečnost ve zdravotnictví. Dušan Navrátil ředitel NBÚ

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Řízení bezpečnosti. Ochrana kritické infrastruktury

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Další postup v řešení. kybernetické bezpečnosti. v České republice

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Touto vyhláškou se stanoví významné informační systémy a jejich určující kritéria podle 6 písm. d) zákona.

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Národní bezpečnostní úřad

Zákon o kybernetické bezpečnosti na startovní čáře

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

L 320/8 Úřední věstník Evropské unie

Zákon o kybernetické bezpečnosti. Petr Nižnanský

Úplné znění zákona o kybernetické bezpečnosti a části zákona o svobodném přístupu k informacím s vyznačením navrhovaných změn

Zákon o kybernetické bezpečnosti

Kritická infrastruktura zdravotnictví -ano či ne?

VODÍTKA HODNOCENÍ DOPADŮ

Nařízení vlády č. 432/2010 Sb. o kritériích pro určení prvků kritické infrastruktury

Shrnutí stanoviska k návrhu přepracovaného znění směrnice o opakovaném použití informací veřejného sektoru

Úřední věstník Evropské unie L 194. Právní předpisy. Legislativní akty. Svazek července České vydání. Obsah SMĚRNICE

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Problematika kritické infrastruktury

HLÁŠENÍ KONTAKTNÍCH ÚDAJŮ. Návod k vyplnění formuláře

EVROPSKÁ UNIE EVROPSKÝ PARLAMENT

ZMĚNY LEGISLATIVY EU V OBLASTI DANĚ Z PŘIDANÉ HODNOTY

Zásadní změny zákona o krizovém řízení

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

SBÍRKA ZÁKONŮ. Ročník 2017 ČESKÁ REPUBLIKA. Částka 74 Rozeslána dne 14. července 2017 Cena Kč 75, O B S A H :

Vyhláška o bezpečnostních pravidlech pro orgány veřejné moci využívající služby cloud computingu (Cloudová vyhláška)

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. července 2017

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY A JEJICH VLIV NA ROZVOJ ŽELEZNIČNÍ SÍTĚ V ČR

Z K B V P R O S T Ř E D Í

Představení ERÚ a jeho činnost při uplatňování regulace v sektoru elektroenergetiky

Jedná se o legislativně technickou úpravu vyplývající z potřeby doplnit do 2 nová písmena h) až m).

BALÍČEK OPATŘENÍ K ENERGETICKÉ UNII PŘÍLOHA PLÁN VYTVÁŘENÍ ENERGETICKÉ UNIE

Alternativní paliva pro dopravu a pohony v ČR po roce 2020

ROZHODNUTÍ. s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 53 odst. 1, články 62 a 114 ve spojení s čl. 218 odst.

Co přináší novela zákona o léčivech? PharmDr. Alena Tomášková odbor farmacie

Klíčové legislativní 550 SC-002 změny ve zdravotnictví: JUDr. Radek Policar

PŘÍLOHA. Provádění strategie pro jednotný digitální trh

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Návrh směrnice (COM(2017)0660 C8-0394/ /0294(COD))

Priority ERÚ v roce 2012

Obsah. O autorech... V Předmluva... VII Jednotlivé části publikace zpracovali...xv Seznam použitých zkratek... XVII

Postavení ERÚ v navrhované novele EZ

Operační program doprava Přehled priorit a opatření

Legislativní změny v oblasti chemických látek a směsí a prevence závažných havárií. MUDr. Marie Adámková

Územní energetická koncepce Zlínského kraje

Úřední věstník Evropské unie

TEN-E (transevropská energetická síť)

Spisová značka: Brno, 23. května /2019 Vyřizuje: VEŘEJNÁ VYHLÁŠKA NÁVRH OPATŘENÍ OBECNÉ POVAHY

OBSAH. Přehled ustanovení zpracovaných jednotlivými autory... XI Seznam zkratek... XX Seznam předpisů citovaných v komentáři... XXX Předmluva...

DOPORUČENÍ NÚKIB. k ustanovení 10a zákona o kybernetické bezpečnosti a utajení informací podle zákona o ochraně utajovaných informací

SOUČASNOST A BUDOUCNOST KRITICKÉ INFRASTRUKTURY V OBLASTI ZDRAVOTNICTVÍ

problematika ochrany kritické infrastruktury - po 11.září 2001 EKONOMIKA + BEZPEČNOST, úkolem státu je zajistit základní životní potřeby obyvatelstva

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Aktuální léková politika. PharmDr. Alena Tomášková odbor farmacie

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

KRIZOVÁ OPATŘENÍ KOMPETENCE K JEJICH NAŘIZOVÁNÍ

Návrh NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY

VLÁDNÍ NÁVRH ZÁKON. ze dne 2017,

Ing. Miroslav Tůma, Ph.D. ředitel odboru Kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra ČR

181/2014 Sb. ČÁST PRVNÍ KYBERNETICKÁ BEZPEČNOST HLAVA I ZÁKLADNÍ USTANOVENÍ

PŘÍLOHA NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) /...

Tzv. euronovela energetického zákona. Mgr. Antonín Panák Energetický regulační úřad

NÁRODNÍ PROGRAM OCHRANY KRITICKÉ INFRASTRUKTURY IV.

N 111 / 10 / 02, N 112 / 10 / 02, N 113 / 10 / 02 a N 114 / 10 / 02

432/2010 Sb. NAŘÍZENÍ VLÁDY. ze dne 22. prosince o kritériích pro určení prvku kritické infrastruktury. Průřezová kritéria

Transkript:

Zákon o kybernetické bezpečnosti a směrnice NIS Mgr. Jiří Malý Národní bezpečnostní úřad Praha

Cíle právní úpravy o Stanovit základní úroveň bezpečnostních opatření o Zlepšit detekci kybernetických bezpečnostních incidentů o Zavést hlášení kybernetických bezpečnostních incidentů o Zavést systém opatření k reakci na kybernetické bezpečnostní incidenty o Upravit činnost dohledových pracovišť o Cíle novely: o Transpozice Směrnice Evropského parlamentu a Rady (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii, (směrnice NIS) o Odstranění některých nedostatků současné úpravy

Povinné osoby podle ZKB současnost o 3 ZKB a) poskytovatelé služeb elektronických komunikací, a subjekt zajišťující sít elektronických komunikací, b) orgán nebo osoba zajišťující významnou síť c) správce IS KII d) správce KS KII e) správce VIS NÁRODNÍ CERT VLÁDNÍ CERT

KII/VIS v číslech I. 180 160 140 120 100 80 60 40 20 0 Aktuální počty systémů a správců KII/VIS KII - soukromý sektor KII - veřejný sektor VIS Počet systémů 50 48 155 Počet správců 19 19 58

Směrnice NIS obecně o Směrnice stanovuje opatření pro bezpečnost sítí a informačních systémů v rámci Unie s cílem zlepšit fungování vnitřního trhu o Některé důvody přijetí směrnice: o IS a KS hrají zásadní roli a jsou nezbytné pro ekonomické a společenské činnosti (čl. 1 preambule) o Zvyšuje se rozsah, četnost a dopad bezpečnostních incidentů (čl. 2 pr.) o Stávající schopnosti nejsou v Unii dostačující (čl. 5 pr.) o Průběh přijetí směrnice o Návrh směrnice je na půdě Evropské unie řešen již od roku 2013 o Finální znění přijato 6. července 2016, publikace 19. července 2016 o Platnost od 8. srpna 2016

Jaké povinnosti směrnice NIS přináší o Státy musí přijmout národní strategii pro bezpečnost sítí a informačních systémů o Státy musí určit vnitrostátní příslušné orgány pro oblast regulace, jednotná kontaktní místa a týmy CSIRT o Státy musí určit provozovatele základních služeb (PZS) o Stanoveno konkrétní datum - do 9. listopadu 2018 o Směrnice přímo definuje poskytovatele digitálních služeb (DSP) povinnost zapracovat do právního řádu o PZS s DSP budou muset přijmout a zavést bezpečnostní opatření a hlásit incidenty o Směrnice dále ustavuje síť skupin pro reakci na incidenty (CSIRT) a skupinu pro spolupráci na úrovni EU

Průběh transpozice NIS na národní úrovni o ČR musí přijmout úpravu do 21 měsíců od vstupu směrnice v platnost tedy nejpozději do května 2018 o Nutno novelizovat ZKB o březen 2016 svolána pracovní skupina pro transpozici NIS na úrovni jednotlivých resortů o duben 2016 - vytvořena pracovní skupina pro transpozici NIS na úrovni odborné veřejnosti o 18. července 2016 - návrh novely ZKB odeslán do MPŘ o 15. srpna 2016 - MPŘ ukončeno o 30. září 2016 materiál zaslán na vládu do pracovních komisí LRV o Plán: 4. Q/2016 předložení transpozičních právních předpisů PS

Směrnice NIS povinné subjekty o Směrnice zavádí dva druhy povinných subjektů I. Provozovatelé základních služeb (PZS) II. o Klíčové subjekty pro fungování společenských a ekonomických činností o Určováni členskými státy na základě stanovených kritérií o Kritéria rámcově stanovena směrnicí dopady a odvětví o Podobné KII jsou zde ale rozdíly (PZS orientovány na vnitřní trh x KII na bezpečnosti státu, kritéria KII plně nepokryjí kritéria pro PZS, ) o o o Poskytovatelé digitálních služeb (DSP) Regulováni nově Typově se jedná o vyhledávače, on-line tržiště, cloud computing Povinnosti jsou mírnější než u PZS - princip maximální harmonizace

Provozovatel základní služby (PZS) - definice o Základní služba = služba, jejíž poskytování je závislé na sítích nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení činností v některém z těchto odvětví: 1. energetika 5. zdravotnictví 2. doprava 6. dodávky a rozvody pitné vody 3. bankovnictví 7. digitální infrastruktura 4. infrastruktura finančních trhů 8. chemický průmysl o Informační systém základní služby = systém, na jehož fungování je závislé poskytování základní služby o provozovatel základní služby = orgán nebo osoba, která je odpovědná za poskytování základní služby a která je určena Národním bezpečnostním úřadem

Určování PZS kritéria I. o Pro to, aby byla služba považována za základní je nutné: o Aby její poskytování bylo závislé na sítích nebo informačních systémech o Narušení systému by mohlo mít významný dopad na zabezpečení klíčových společenských nebo ekonomických činností v některém z vyjmenovaných odvětví (viz dále) o Ke každému odvětví NIS uvádí dále pododvětví, kterých se týká o Pododvětví jsou definována prostřednictví již schválených odvětvových směrnic či nařízení o Směrnice nastavuje rozsah povinných subjektů poměrně široce o V prováděcím právním předpisu bude tento rozsah omezen dopadovými a sektorovými kritérii

Určování PZS kritéria II. o Směrnice NIS uvádí odvětví, ve kterých budou PZS určováni: 1. energetika 5. zdravotnictví 2. doprava 6. dodávky a rozvody pitné vody 3. bankovnictví 7. digitální infrastruktura 4. infrastruktura finančních trhů + nad rámec směrnice přidán 8. chemický průmysl o Směrnice dále v čl. 6 stanoví okolnosti, které mají státy při určení zvážit (jde o obdobu průřezových kritérií u KII): a) počet uživatelů, kteří jsou závislí na službě b) závislost dalších odvětví na službě poskytované daným subjektem d) podíl daného subjektu na trhu e) zeměpisný rozsah oblasti, která by mohla být incidentem dotčena c) možný dopad incidentů f) důležitost subjektu, pokud jde o udržování dostatečné úrovně dané služby, s přihlédnutím k dostupnosti alternativ

Určování provozovatelů základních služeb (PZS) o PZS budou určováni opatření obecné povahy vydaným NBÚ o Určující kritéria stanoví prováděcí vyhláška k ZKB o Vyhláška zatím není zpracována zveřejněny pouze teze vyhlášky o Odvětví budou kopírovat NIS, dopadová kritéria budou respektovat požadavky směrnice a zohledňovat národní podmínky o Pro určení bude nutné naplnit jak dopadová tak odvětvová kritéria o Na konkrétním nastavení kritérií bude spolupracováno s odborníky z veřejné i soukromé sféry o Kritéria je nutno nastavit tak, aby regulace pokryla pouze systémy nezbytné pro zajištění služeb (ne fakturační či marketing. systémy)

Určování PZS možná kritéria o Dopadová kritéria pro určování PZS by mohly vypadat následovně: a) omezení základní služby postihující více než 50 000 osob b) omezení či narušení jiné základní služby, nebo omezení či narušení provozu prvku kritické infrastruktury c) hospodářskou ztrátu vyšší než XXX % HDP d) nedostupnost služby, která není nahraditelná jinou službou e) oběti na životech s mezní hodnotou více než 100 mrtvých nebo 1000 zraněných osob vyžadujících lékařské ošetření f) ohrožení veřejné bezpečnosti v minimálním rozsahu správního území obce s rozšířenou působností g) kompromitaci citlivých údajů o 200 000 osobách o Mnoho vitálních systémů již určeno jako KII nepředpokládáme výrazné množství PZS o V případě, že systém naplní kritéria pro PZS i KII určí se jako KII

Odvětví PZS podle NIS I. Energetika o Pododvětví Elektřina o elektroenergetický podnik o provozovatel distribuční soustavy a provozovatel přenosové soustavy o Pododvětví Ropa o provozovatel ropovodů o provozovatelé zařízení na zpracování, rafinaci a úpravu ropy a skladovacích a přenosových zařízení o Pododvětví Zemní plyn o fyzická nebo právnická osoba, která provádí dodávky o provozovatel distribuční a přepravní soustavy o provozovatel skladovacího zařízení o provozovatel zařízení LNG o plynárenský podnik a provozovatel zařízení na rafinaci a úpravu plynu

Odvětví PZS podle NIS II. Doprava o Pododvětví Letecká doprava o letečtí dopravci o letiště o řízení letového provozu o Pododvětví Železniční doprava o provozovatelé infrastruktury o železniční podniky o Pododvětví Vodní doprava o podniky vnitrozemské, námořní a pobřežní osobní a nákladní vodní dopravy o řídící orgány přístavů o Pododvětví Silniční doprava Zde KII prozatím neurčena Zde KII prozatím neurčena o silniční orgány a provozovatelé inteligentních dopravních systémů

Odvětví PZS podle NIS V. Zdravotnictví o Poskytovatelé zdravotní péče o poskytovatel zdravotní péče = fyzická nebo právnická osoba nebo jiný subjekt, který zákonným způsobem poskytuje zdravotní péči na území členského státu Zde KII prozatím neurčena

Odvětví PZS podle NIS VII. Digitální infrastruktura o Výměnné uzly internetu o Poskytovatelé služeb systému doménových jmen o Rejstříky internetových domén nejvyšší úrovně KII prozatím neurčena úplně

Provozovatel základní služby (PZS) povinnosti o NIS stanovuje následující okruhy povinností pro PZS: o Přijmout technická a organizační opatření k řízení rizik o Přijmout opatření k předcházení incidentům narušujícím bezpečnost o Oznamovat incidenty včetně případných přeshraničních dopadů o Poskytovat národní regulační autoritě informace pro posouzení bezpečnosti včetně bezpečnostní politiky o Provádět nápravu zjištěných nedostatků o Povinnosti jsou stejné jako u KII - rozsah povinností bude stejný o KII má navíc povinnosti vyplývající z krizového zákona o PZS bude regulována jako samostatná kategorie - nebude zahrnuta pod krizový zákon

Poskytovatel digitálních služeb (DSP) - definice o Poskytovatel digitální služby poskytuje službu: o On-line tržiště - umožňuje on-line uzavírat kupní smlouvu nebo smlouvu o poskytnutí služeb prostřednictvím internetové stránky on-line tržiště nebo prostřednictvím internetové stránky prodávajícího, která využívá službu on-line tržiště o Internetového vyhledávače o Cloud computingu - umožňuje přístup k rozšiřitelnému a přizpůsobitelnému úložišti výpočetních zdrojů, jež je možno sdílet o Tyto definice vycházejí přímo ze směrnice o Regulace se netýká malých a mikro podniků

Poskytovatel digitálních služeb (DSP) povinnosti o 4 odst. 3 NZKB: zavést a provádět vhodná a přiměřená bezpečnostní opatření pro sítě a informační systémy, které využívá v souvislosti se zajišťováním své služby o 8 odst. 2 NZKB: hlásit kybernetický bezpečnostní incident s významným dopadem na poskytování jeho služeb o 16 odst. 2 písm. h) NZKB: oznamovat kontaktní údaje Nár. CERTu o Uplatňuje se princip maximální harmonizace povinnosti nad rámec NIS se neukládají, kontrola pouze při podezření neplnění požadavků o DSP tedy musí: o Přijmout vhodná a přiměřená technická a organizační opatření k řízení rizik o Přijatá opatření musí odpovídat míře existujícího rizika o Přijmout opatření k předcházení incidentů a incidenty oznamovat

Struktura povinných podle ZKB současnost vs. budoucnost o 3 NZKB a) poskytovatelé služeb elektronických komunikací, a subjekt zajišťující sít elektronických komunikací b) orgán nebo osoba zajišťující významnou síť c) Poskytovatel digitálních služeb d) správce IS KII e) správce KS KII f) správce VIS g) správce a provozovatel IS základní služby h) provozovatel základní služby NÁRODNÍ CERT VLÁDNÍ CERT

Děkuji za pozornost

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář